Можно ли обойти фильтрацию скобок и кавычек при XSS атаке? Скрипт фильтрует и выдает безопасный html-код в браузер...

Заранее спасибо!

какие скобки? какие кавычки?

"", '',

есть много возможных вариантов, но зависит от условий. это может быть дабл урл енкод, утф енкод.

Спасибо. Фильтрутся данные символы и возвращает в браузер:«» → «>»...

Нельзя. Но если текст попадает в начало страницы - можно использовать кодировку UTF-7 в некоторых редких случаях (только для IE). Можете поискать публикации на эту тему.