level1 没有任何过滤,直接URL后面加XSS测试语句 <script>alert('123')</script>; 弹窗 <script>alert('123')</script>; level2 有搜索框,像第一关一样在搜索框测试一下,但是没有像第一关一样弹窗 查看源码发现我们的XSS语句被赋值给value并且在input标签里,所以我们需要闭合value和input标签就可以正常弹窗了 1"><script>alert('1');</script>