Cerco di far funzionare XSS in una richiesta GET, ma funziona solo all'interno di BURP perché posso inviare ad esempio > come stringa non codificata URL. Appena lo provo nel browser, non è più possibile perché il browser codifica > in %3e e il vettore XSS è scomparso ...
È in qualche modo possibile forzare il browser a non codificare URL quei caratteri quando si effettua la richiesta?