Sim, isso é um self-xss, mas para demonstrar que o evento de fato funciona e é frequente (nesse caso foi roubado pq foi meu adblock, mas poderiam ter outros fatores que trigariam, como o CSP mesmo rsrs)