Me preguntaba si esta función sería vulnerable a XSS.
var url = "google.com";
if (url.indexOf("http") != 0) {
url = "http://" + url;
}
$("<a/>").attr("href", url);
La 'url' es la entrada del usuario, y el <a/>
se colocaría en alguna página web.
No pude encontrar una manera de ejecutar código javascript en esta función. Pero antes de implementar esto, sería bueno que alguien pueda echar un vistazo.