Я ввел сохраненный XSS в текстовое поле в Webgoat5.4-developer [XSS-LAB: Межсайтовый скриптинг - Этап 1: Сохраненный XSS]. XSS, который я ввел, был
2211 <script>alert('Hi')</script>HyperThread Rd.
, где 2211 и HyperThread - это уже вышедший текст, а
<script>alert('Hi Jerry u r hacked lol')</script>
- это команда сценария, которую я ввел. И тогда это работает. Но вопрос в том, что мне интересно, как это работает, хотя команда сценария была между текстами.