Проверяв систему, я удивлся тому что фильтр раскодирует ASC II и Hex до потери пульса =), т е до того пока в значении атрибута будет встечаться комбинация
что нам и интересно, ведь если написать
фильтр преобразует это в букву - a
кусок слова 'javascr' будет выглядить так :
и фильтр не воспримает этот кусок как слово ключевое слово javascript

а XSS бдет выглядеть как то так :
фильтр её пропускает, потому что кусок слова закодирован а конец его - нет