wstrzyknięcie w atrybucie ze zdarzeniem JS<div onclick="change('[XSS]')">user1</div>
przeglądarka dekoduje automatycznie wszystkie encje znajdujące się w wartościach atrybutów dla tagów JS, jak onchange czyli strona wyposażona w enkodowanie znaków w atrybutach HTML taki atak dopuści: <div onclick="change('');alert(1)//)">user1</div>