У меня нет репутации, чтобы комментировать ответ Джеффа Этвуда, поэтому я не согласен с ним здесь. Такая ссылка, безусловно, может быть разослана по почте и использована для использования сайтов, уязвимых для отраженного XSS. Я проверил это с помощью Gmail и сайта, над которым у меня есть контроль.
Возможно, кодирование выполнялось в фоновом режиме, но, несмотря на это, я смог набрать ссылку, отправить ее по электронной почте, а затем щелкнуть ссылку и приступить к работе. Кроме того, в каждом браузере, который я пробовал, я мог напрямую вводить полезную нагрузку без кодирования и запускать скрипт.
Так что да, этот код является "действительным XSS", и если ваш сайт запускает этот javascript, то ваш сайт уязвим для отраженной атаки XSS.