Воистину , на javascript творят чудеса и даже любой деструктивный подход вроде xss червя является результатом множественных исследований . Нам надо всего лишь создать маленькое чудо , причем чем меньше тем лучше , которое отправит свой собственный код на скрипт . Учитываться также будет кроссбраузерность , думаю , таких браузеров как FireFox второй ветки и шестого IE будет достаточно для испытания . Для упрощения задачи сделал форму которая разместит на странице ваш скрипт и скрипт a.php который выведет то что на него послали посредством POST в переменной xss.Длину считать полностью , те допустим от тега <script до его закрывающего </script> , а не только содержимое.Пока что мой код умещается в 162 символа.

Пишем код в форме , жмем кнопку и смотрим результат.Ничего не режется , вывелась ли ваша xss можно глянуть любым http снифером по обращениям к скрипту a.php

Подрубать скрипт с других сайтов нельзя

www.underwater.itdefence.ru/xssed/xssed.php