Ah, e acalmem o coração: aquele seu XSS refletido ou armazenado clássico, que não depende dessa mutação doida no DOM durante a sanitização, é outra história e continua valendo do mesmo jeito. !=mXss