Una cosa es tener que clicar un link y que salte un XSS, y otra es clicar un link ver un mensaje de alerta y tener que darle al OK.
Pero de todas formas, si le mandas el "link de youtube" tambien le saldria
Aunque como dice braulio supongo que en la inyeccion tambien puedes hacer que se ignore lo que sigue..