Xrizolin

https://www.owasp.org/index.php/XSS_(Cross_Site_Sc...
И на всякий случай после проверки исходников прогнать поверх сканером.
Например https://metascan.ru

Привет. Если используешь Chrome, то это XSS-аудитор.
Рекомендую почитать блог Brute на эту тему: https://brutelogic.com.br/blog/chrome-xss-bypass/

Также можешь попробовать https://metascan.ru для автоматического поиска XSS в проекте.

UPD: Актуальные байпасы для XSS-аудитора
https://github.com/EdOverflow/bugbounty-cheatsheet...

Привет!

Самый лучший способ проверить сайт на XSS - проверить исходный код.
Основная причина возникновения XSS - отсутствие фильтрации пользовательского ввода на (&, <, >, ", ')

Большинство современных ORM, шаблонизаторов в языках выполняют эскейпинг пользовательских данных, что должно защищать от XSS. К сожалению часто разработчики выключают эти проверки руками.

Более подробно про то как защитить свой код от XSS: https://www.owasp.org/index.php/XSS_(Cross_Site_Sc...

Как обойти фильтры и внедрить XSS: https://www.owasp.org/index.php/XSS_Filter_Evasion...

Кстати, я один из разработчиков сканера уязвимостей, в том числе и XSS - https://metascan.ru
Можете попробовать сканер или просто поспрашивать наших ребят. support@metascan.ru