low
<script>alert('xss')</script>
middle
<script>被过滤了,' 被转义了,<>也是被过滤了,可以尝试用编码的方式绕过,不过浏览器中会限制长度,抓包尝试
但是我编码成<script>alert('xss')</script>
但是什么都没有 ,也不知道为什么%#;都没被过滤