Tengo el siguiente JS (usando jQuery por brevedad, pero no es necesario para la pregunta):
$("<i></i>").html(userInput);
¿Es posible que alguien ingrese alguna cadena, UserInput, de manera que ejecute con éxito un ataque XSS?
He intentado ingresar una etiqueta de secuencia de comandos con una alerta, pero no se ejecuta. Creo que porque el elemento está fuera del DOM XSS no funcionará, pero no pude encontrar ningún recurso para confirmar esto.