<form action="" method="GET">    <input type="text" name="xss_input">    <input type="submit"></form><hr><?phpif($_GET['xss_input']){    $xss = $_GET['xss_input'];    echo '你输入的字符为<br>'.$xss;}为什么我们输入框填写<script>alert('xss')</script> 没有弹出呢？好像直接被浏览器转义了？为什么会这样呢？我想学习下XSS攻击的案例。