Por lo que estoy viendo en varios tutoriales todo se resume a algo.

Poner en el buscador cualquier tipo de datos formateados con etiquetas HTML:

ejemplo
<u>cualquier cosa</u>
si esto te da como resultado "cualquier cosa" es vulnerable pero, si en cambio te tira
<u>cualquier cosa</u> no lo es. Bueno eso creo.

Ahora me surge una pregunta
si pongo el ejemplo que puse en el post anterior

"<script>alerta("vulnerable");</script>" dice que no esta permitida esa opción... Estoy confundido.