Я ищу пример уязвимости XSS, которая была бы остановлена просто с помощью AntiXSS Encoder 4.1 Beta в качестве кодировщика времени выполнения (настройка в system.web/httpRuntime). Я бы предпочел что-то, что не требует каких-либо явных вызовов функций AntiXss, таких как
@AntiXss.JavaScriptEncode(ViewBag.UserName)
Я думаю что-то, что попадет в черный список ASP.NET, но не сделает его через белый список AntiXSS, может быть, что-то делать с альтернативными наборами символов или кодировкой?
Я тестировал уязвимости UTF-7, но не вижу никаких проблем, влияющих на современные браузеры.