1) <script> эти сайты фильтруют
2) < scr ip t > тут табуляция а не пробелы, и вроде браузер должен все нормально интерпретировать (хотя кажеться там были и пробелы тоже щас попробую только с табуляцияе).
Да блин, че за нах, во всех статьях про xss говориться что мол если фильтруеться то используйте табуляции, пробелы, регистры букв, притом у меня есть живой пример где
[img]javascript:alert('На_сайте_обнаруже на_XSS_уязвимость');[/img]
неработает, а
[img]jav ascript:alert('На_сайте_обнаружен� �_XSS_уязвимость');[/img] (сдесь табуляция)
работает
че за нах (((.

Ну предположим все что я сказал выше чушь собачья, тогда если сайт фильтрует текст <script> нече сделать больше и неполучиться ? низрена не так ! вот _http://ha.ckers.org/xss.html да и на всех статьях на форуме подобной описываеться !!!!
так в чем всетаки проблема ?(