假如我们是黑客，可以诱骗用户访问如下链接，

相当于用户会在浏览器地址栏中输入以下地址:

http://www.xxx.com/test_form.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E 这里文件名后的字符是URL encode characters,其等效于

在这个页面中我们设置一个表单，表单的设置如下：

    
     "> 当用户提交表单后（表单也可以为空，这样直接执行了），数据交给action指定的文件也就是当前的页面文件，并执行了后面的Javascript脚本代码（由browser自动执行）
    

    
      后面的脚本任何JavaScript代码可以添加在
     
    

例如，可用如下脚本重定向页面

实际动手如下：我们编号含有以上要求的表单文件在index.php中，本地访问（已经搭好了apache服务器） http://localhost/phptest/index.php/%22%3E%3Cscript%3Ealert('hacked')%3C/script%3E

在Edge中效果：

然后显示：

 

在chrome中效果