OWASP XSS Filtresi Kaçırma Cheat Sheet "& JavaScript içeren" bahseder içerir:& JavaScript
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#.26_JavaScript_includes
şöyle sağladığı örnektir: Ben Chrome ile jsfiddle üzerinde denedim
<BR SIZE="&{alert('XSS')}">
ve Firefox ve ben bir JS pop-up almıyorum. Yani hangi tarayıcıların/sürümlerin üzerinde çalışılması gerekiyor?
URL: Bunu çoğaltmak Netscape 4 kopyanızı patlak gerekir
http://security.stackexchange.com/a/64926/56707 –
Başka bir SE sitesinde bununla ilgili bir Soru-Cevap var - [XSS Tekniği - & JavaScript'e Dahil] (http://security.stackexchange.com/questions/64.925/XSS-teknik-javaScript-dahil) –