Есть ли вариант обойти вот такой вот фильтр?

данный код заменяет данные символы и не дает выводить xss

Нет.

Круто чё, значит в такой форме не исполнить не какого кода

xss DOM Based

Знатоки XSS подскажите, как можно завести такую вот приблуду.

на странице , скрипт подтягивает из куки параметр[COLOR="rgb(255, 128, 0)"]partner_id[/COLOR]в переменную ->site_idи записывает это все в ссылку.

я создаю куки параметр , и вписывают туда payload => [[COLOR="#ff4d4d"]">alert("XSS")
.SpoilerTarget" type="button">Spoiler: скрин

Как мне это все дело провернуть с пользователями сайта?

думал как то с помощью js создать ссылку, в которой устанавливался бы пользователю параметр куки с пайлоадом, и потом у него исполнялся бы код

но хз, реально ли это.

В такой нет, стоит параметру попасть в атрибут, XSS будет.

Нельзя установить куки для другого домена.

Найти XSS на сабдомене и установить куки для домена верхнего уровня, которые будут валидны для всех уровней. Так же, одним из универсальных методов, в подобных случаях, является HTTP Response splitting aka CRLF injection, которым можно выставить куки, добавив дополнительные строки в заголовок (Set-Cookie). Проблема его найти, если вообще он есть, к примеру PHP защищён от подобного рода атак. В качестве другого варианта, можно попробовать передать этот параметр в GET/POST, возможно он рефлектится не только из COOKIE. Дальнейшие возможные варианты, описывать не имеет смысла, так как они будут сильно завязаны на конкретной цели.