XSS Playground
Vergleich unsicherer vs. sicherer Ausgabe — Payloads werden nicht ausgeführt.
Gefährliches Muster erkannt (Event handler, <img onerror>)
Unsicher (innerHTML)
<img src=x onerror="alert(1)">
Sicher (escaped)
<img src=x onerror="alert(1)">
Im unsicheren Modus würde der Browser HTML/JS interpretieren. Im sicheren Modus wird escaped ausgegeben.