第一关没有任何防范 1<script>alert()</script> 第二关可以看到在h2标签这里他将<和>进行了编码，而在输入这个标签中，她是没有被编码的，但是可以看到我们的注入语句被放到了value值当中，这样浏览器是不会执行我们注入的语句的，所以构造闭合思路。 1'"><script>alert()&l...