Low等级
前端限制了输入的长度
<script>alert(1)</script>

修改前端代码绕过限制
maxlength='100'


使用burpsuit改包绕过

Medium 等级
使用嵌套和大小写绕过发现name注入成功,message注入失败


查看源码发现在message处使用了strip_tags()和htmlspecialchars()进行过滤

High 等级
使用img和iframe标签绕过



Impossible 等级
使用了stripslashes()和htmlspecialchars()进行过滤
