我试图确定同事的代码是否容易受到XSS的攻击。他们正在构建一个小部件，该小部件接受用户输入作为查询参数，以配置使用Konva和HTML画布构建的用户界面。

程序将使用用户输入向用户界面添加文本或指定十六进制颜色字符串来配置UI的一些原色。他们允许通过查询参数配置小部件，这样配置的小部件就可以很容易地与其他人共享。

我的问题是，假设web应用程序正确地从用户输入中删除或清除了所有HTML标记和引号，那么如果用户通过任何普通的或编码的JavaScript发送，还可能存在XSS漏洞吗？

Ruby on Rails(ERB)示例: