XSS avancé — CSP bypass, filters, DOM

Quand le simple `<script>` ne passe plus : contourner CSP, WAF, sanitizers.