<!DOCTYPE html>
<html>
<body>
<h1>我的第一个标题</h1>
<!-- 恶意攻击 -->
<meta http-equiv="refresh" content="0;url='http://www.25xt.com' "/>
</body>
</html>
能够嵌入js代码的场景如下
<!DOCTYPE html>
<html>
<body>
<h1>我的第一个标题</h1>
<!-- 恶意攻击 -->
<script> alert("hello")</script>
</body>
</html>
<!DOCTYPE html>
<html>
<body>
<h1>我的第一个标题</h1>
<!-- 恶意攻击 -->
<img src="http://xxxxx" onerror="alert('hello')"></img>
</body>
</html>
<!DOCTYPE html>
<html>
<body>
<h1>我的第一个标题</h1>
<!-- 恶意攻击 -->
<a href="javascript:alert('Hello!')">Click Me!</a>
</body>
</html>