В хроме встроена защита от исходящих xss-атак в get и post запросах. Точнее фильтруются наиболее банальные комбинации типа

code:


и т.д. Либо обходить с помощью других способов (копать в сторону javascript атрибутов тэгов и других способов внедрения года для обхода фильтра) либо находить и использовать активные xss. Потому как когда код выводится с сервера, он всегда будет работать. А когда выполняется отправленный в запросе код на странице, то хром его блокирует.