Бо якщо в тебе вже відбувся прохід фільтра, де ти перевірив на XSS код, то потім після проходу з видаленням пробілів, ще раз запускати перевірку на XSS мало хто буде (бо це неоптимальне витрачання ресурсів комп’ютера). Розробники фільтрів даних за звичай фільтрують “атакуючий код” на одному проході, частіше всього на початку. І в подальшому (коли використовується складний багатопрохідний фільтр) вже не перевіряють дані на “атакуючий код”. Що і може бути використане для обходу фільтрів .

Тому оптимальним варіантом буде зміна порядку проходів фільтра. Можна звичайно шаблони фільтру ускладнити, але краще зробити оптимальний порядок його проходів.