di OWASP menziona "& JavaScript comprende":& JavaScript include filtro XSS Evasion Cheat Sheet
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#.26_JavaScript_includes
L'esempio fornisce è la seguente:
<BR SIZE="&{alert('XSS')}">
ho provato su jsfiddle con Chrome e Firefox e non sto ottenendo un popup JS. Quindi su quali browser/versioni dovrebbe funzionare?
L'URL:
http://security.stackexchange.com/a/64926/56707 –
C'è una domanda e risposta su questo su un altro sito SE - [XSS Technique - & JavaScript Includi] (http://security.stackexchange.com/questions/64925/XSS-tecnica-javascript-include) –