Классический <script>alert(1)</script> давно не работает на реальных целях: WAF режет его на подлёте, htmlspecialchars экранирует скобки, CSP блокирует инлайн. Но XSS от этого не умирает — он мутирует.Три типа через призму HTTP-запросов: reflected — контекст вставки...
XSS уязвимость на практике: поиск, эксплуатация и обход фильтров
Источник: codeby.net