Me encontré con un escenario, donde la entrada de usuarios se refleja en el valor href de la etiqueta de anclaje. Así que si pongo a prueba ahí se refleja como <a href="/test">
Debido a esta barra diagonal agregada en el código, javascript:alert(1)
no se ejecutará, ya que se tratará como URL. Además, "
no está permitido y da 400.
En este caso, ¿existe la posibilidad de omitir el cheque, o cualquier forma de XSS.