|
придет с сервера вот такая штука <script>alert("xss")</script>
Без вашего ведома такое вообще-то с сервера никак не может прийти, если же приходит значит вы не контролируете ситуацию на нем.
Другой случай, это уже атаки типа "человек по середине", но превращать нужно не символы в unicod, а "опасные" символы в html-сущности <, >, &.
|