Leggendo di XSS e delle sue contromisure dal link , si dice (nel secondo paragrafo del link) che:
[…] support for Unicode character sets by browsers could leave an application open to XSS attacks if the HTML quoting algorithms only look for known-bad characters.
Quindi, come si fa a sfruttare una pagina che cerca solo caratteri unicode noti male? Un esempio sarebbe molto apprezzato.