xss поиск

[s unity]

после просмотра одного видео парня про поиск xss (в котором он говорит, что 95% уязвимы) пытался ручками через раздел поиска у разных сайтов выйти за пределы атрибутов методом qwe" но абсолютно на каждом сайте получал ...... value=" qwe" " .... санитизации нет, но и из атрибута я никак не могу выйти. даже на сайте, который лично писал, не смог выйти из атрибута. там точно нет никакой защиты, я ж сам его делал
у меня чувство, что я не допираю. подскажите пожалуйста.

 

[s unity]

Неужели никто не может подсказать?
кстати, вчера наткнулся на сайт. в поиск вбил qwe. посмотрел куда кве попала. как обычно попало в инпут с атрубитом value="qwe". ради интереса я вбил в поиск qwe"><script>alert(XSS)</alert><!-- и вы не поверите, сработало.
получается почти на всех сайтах есть какая то защита от этого? но какая? я вбиваю qwe" и атрибут не зарывается ковычкой, она даже не кодируется в html entities. у меня когнититвный диссонанс. гуглить не получается.