对于新手来说，往往会在留言地方插入<script>alert(1)</script>来检测是否有存储xss，事实是基本上不会弹框的，为啥？

通过查看源码，可知道<>标签被实体编码了。

是前端和后端设置了过滤？非也！。  因为有些标签自身具备htmlencode功能，标签有:

<textarea>

<title>

<iframe>

<noscript>

<noframes> 

如果绕过？那就闭合前面的标签就是了 ，比如</textarea><script>alert(1)</script>

ps: <textarea>在文本留言处是最常用的，特征也很明显，比一般的input输入框要大，而且右下角可拖动设置框大小。

为什么在留言处插入<script>alert(1)</script>不弹框