XSS не имеет никакого прямого отношения к супуфинг атакам, зачастую и Js. В большинстве случаев основой для уязвимости служит некорректное отображение элементов, формирующих "адрес", на странице, либо ошибки в обработке адресной строки браузером. Стоит учитывать как ПО так и используемую версии с установленными расширениями.
Причем стоит понимать разницу между спуфингом адресной строки и отображаемого адреса в строке статуса.