<form action="" method="GET">

    <input type="text" name="xss_input">

    <input type="submit">

</form>

<hr>

<?php

if($_GET['xss_input']){

    $xss = $_GET['xss_input'];

    echo '你输入的字符为<br>'.$xss;

}

为什么我们输入框填写<script>alert('xss')</script> 没有弹出呢？好像直接被浏览器转义了？为什么会这样呢？我想学习下XSS攻击的案例。