Фахриддин Абдурахимов Короче, с toster'ом ничего не понятно, но в моем случае можно использовать XSS (я не уверен конечно, я еще в XSS не разбираюсь...)
Алексей Тен alert() не срабатывает. Попробовал даже с /script> в конце в браузерах Opera 19.0 и Chrome 42.0.2311.135 m, но в console Сhrome были такие строки:
The XSS Auditor refused to execute a script in 'site.com/search?val=%22%3E%3Cscript%3Ealert%28docu...' because its source code was found within the request. The auditor was enabled as the server sent neither an 'X-XSS-Protection' nor 'Content-Security-Policy' header.
