Encontré muchas instancias donde los scripts XSS como el siguiente trabajo:
<iMg SrC=x OnErRoR=window.location=123>
Dado que JavaScript es un lenguaje que distingue entre mayúsculas y minúsculas, ¿cómo puede el navegador identificarlo como código JavaScript y ejecutarlo?