Некоторые старые браузеры уязвимы для XSS-атак.
<img src="javascript:alert('yo')" />
Текущих версий IE, FF, Chrome нет.
Мне любопытно, уязвимы ли какие-либо браузеры для подобной атаки:
<img src="somefile.js" />
or
<iframe src="somefile.js" />
или что-то подобное, где somefile.js содержит какой-то вредоносный скрипт.