stan_q, да, так прокатило =) спасибо большое))

тогда по теме еще один вопрос, возможно ли запускать этот скрипт через результат поиска по сайту (если XSS в поисковике, а адресная строка без уязвимостей)

Я так понимаю, если alert прокатывает, значит сайт пропускает . А если сайт пропускает скрипт, то можно вбить его в поисковик и в обновлённой странице в исходном коде будет целый и невредимый скрипт.. Тоесть при заходе юзера на ссылку с результатом поиска, при загрузке страницы этот скрипт будет выполняться. Я правильно понимаю?)