Supongamos que tengo esto en mi sitio:
<script> var x = "<? echo unsafe_data; ?>"; </script>
Esto obviamente es vulnerable a XSS. Ahora supongamos que "limpio" los datos no seguros al reemplazar \
con \
y "
con \"
(en ese orden). ¿Sigo siendo vulnerable? ¿Qué carga útil podría usarse para escapar del contexto de datos de JavaScript y ejecutar el código?