Проблема с XSS в основном в том, что контекст всегда разный, и простая фильтрация не работает. Особенно круто DOM-based — уязвимость в клиентском JS, и её не видит сервер. Насчёт event-handler’ов — пробовал onanimationend и ontransitionend, иногда проходят через Cloudflare. Главное — внимательно смотреть, где именно ввод попадает и как браузер его парсит. Без понимания контекста толку мало.