Данные, получаемые напрямую от юзера, все уже привыкли фильтровать. А то, что получают через API со сторонних ресурсов, часто вообще не проверяют. Так что тема достаточно актуальна.

Сама XSS тоже неплохая. Выполняется на основном домене, поэтому можно обращаться к любым поддоменам. Только ограниченная длина кода мешает.