Me encontré con un comportamiento extraño mientras realizaba una auditoría de seguridad de una aplicación web. Algunas entradas controladas por el usuario mostraban sus valores, sin codificar, en la página que procesaba la solicitud. Después de probar algunos caracteres para ver si estaban codificados / eliminados, fui al clásico <script>alert(1);</script> para proporcionar un vector de muestra de "ataque". La alerta se mostró mientras lo probaba en mi computadora, Debian / CentOS / Windows 8.1 (en Chrome y Firefox), pero no funcionaba en otra computadora, Windows 7, ni en Chrome ni en Firefox o Internet Explorador. El código aún no estaba codificado en la fuente de la página, pero la alerta nunca apareció. Ejecuté varios códigos JavaScript y funcionó (asignando una variable, redirigiendo, etc.). Me aseguré de que ningún complemento interfiriera con lo que estaba haciendo. ¿Qué podría causar esto?