No, esto no es posible por lo que sé. No puedo pensar en un vector que permita que eso suceda.
Sin embargo, es una regla que TODAS las entradas del usuario se consideren no confiables y se deben validar antes de usarlas. Eso todavía se aplica aquí. Un ejemplo clásico es permitir que se envíen entradas de longitud no restringida (un cliente que no sea navegador no puede ignorar ninguna "restricción" de longitud de HTML) que se genere, lo que provoca un desbordamiento de búfer en el servidor web.
Por lo tanto, siempre desinfecte y valide cualquier entrada al servidor antes de usarlo.