Hola gracias por tu respuesta, bueno quizas no este muy seguro por lo de las url, tengo un caso en un formulario de intranet en donde un usuario responde un mensaje.... y con un boton llamo a una funcion js asi:
ojo que esto aparte de reenviar el mensaje lo registra y luego lo mostrara, por eso mi preocupacion de la seguridad en caso del xss.


function response() {
var codigo = document.frmdetalle.codoculto.value; /*un textbox oculto que tiene un id*/
pagina="citas_reenvia.php?urlcod="+codigo;
document.location=pagina;
//Envía el formulario
return true;
}

Disculpa si me equivoco pero como te menciono quizas esto no se afecte con el xss, pero me gustaria saber en que caso puede ser atacado un URL y tambien en caso de un logeo porque lei por ahi que puede atacar cookies y sesiones, eso es cierto?