level11

此关卡跟上一个关卡一样，不过多了一个ref的标签，将上一关卡的测试代码丢过去没什么效果，如下：

看下源代码

发现被编码了，那么没办法了，看看源代码怎么玩的

确认可以通过http请求的referer进行传递测试代码，但是过程中仍然真的大于号和小于号进行了编码，所以此处是不能是script类似的标签进行测试，只能是事件的形式触发，那么通过burpsuite抓包看看

插入一个正常的bmfx发现真的写入到了目标的属性值上，经过测试触发xss的代码，最终得到如下测试代码 Referer: "type="text" onclick="alert(/bmfx/)

那么抓包拦截，贴上此测试代码即可