Abra, вы о чем. Введите в Яндексе "onmouseleave javascript". Сечете фишку? Этого вы ни в одном руководстве не найдете. Просто это инициатива IE, который решил, что будет неплохо, если событиям onmouseover и onmouseout назначить синонимичные (как одинарной кавычке ' апостроф `). Эти события можно использовать для XSS, если фильтруются onmouseover и onmouseout - о чем, собственно, и речь. Правда, как правило, умные системы фильтруют все, начинающееся с "on". В ЖЖ, например, так.