Solo estaba mirando xss basado en Dom y preguntándome si el valor de hash está escrito en una variable en el contexto de JavaScript puede llevar a las secuencias de comandos entre sitios. El código se ve algo como esto:
<script>
var myhash=window.location.hash;
</script>
¿El código anterior es vulnerable a xss?