¿Dónde se procesa el fragmento de código o Javascript cuando ingresamos eso en el cuadro de entrada de la página HTML o cualquier URL?
¿Va al servidor y vuelve o lo procesa el navegador?
¿Va al servidor y vuelve o lo procesa el navegador?
En realidad, ambos. Cuando ingresa algunos datos en un campo de formulario y los envía, el servidor hace algo con estos datos (por lo general, los guarda en una base de datos). Si los datos contienen código Javascript, al servidor no le importa, solo lo guarda como si fuera un texto normal (recuerde que Javascript es un idioma del lado del cliente, el servidor no puede ejecutarlo).
Cuando desea ver esta información que se ha guardado en la base de datos, el servidor envía los datos solicitados al usuario. Estos datos son manejados por el navegador, que se ocupará de la representación de la página web. Si los datos solicitados contienen código Javascript, esto se ejecutará en este momento.
Lea otras preguntas en las etiquetas xss