Alguns caracteres unicode são tratados incorretamente como espaços em branco durante a análise do conteúdo da web, em vez de disparar erros de análise. Isso permite que o código mal-intencionado seja processado, evitando a filtragem de Cross-Site Scripting (XSS).