<font size=2 face="sans-serif">Hmm, not really all hex so (via perldoc
-q decode):</font>
<br><font size=2 face="sans-serif">$ echo '%#x3cIMG SRC=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;
&#39;&#88;&#83;&#83;&#39;&#41;%#x3e</font>
<br><font size=2 face="sans-serif">' | perl -pe 's/&#([[:xdigit:]]+);/chr
$1/eg'</font>
<br><font size=2 face="sans-serif">%#x3cIMG SRC=javascript:alert( 'XSS')%#x3e</font>
<br><font size=2 face="sans-serif"><br>
if it were actually hex and not decimal ascii you'd add a call to "hex"
in there:</font>
<br><font size=2 face="sans-serif">' | perl -pe 's/&#([[:xdigit:]]+);/chr
hex $1/eg'</font>
<br>
<br><font size=2 face="sans-serif">a<br>
----------------------<br>
Andy Bach<br>
Systems Mangler<br>
Internet: andy_bach@wiwb.uscourts.gov<br>
Voice: (608) 261-5738, Cell: (608) 658-1890<br>
<br>
“That which can be asserted without evidence, can be dismissed without
evidence.”<br>
¯ Christopher Hitchens<br>
</font>