查看代码，输入的内容，通过get请求方式，用text 参数带过去；

获取text内容，赋值给xss 然后拼接到 dom 里；构造payload的关键语句：

<a href='"+xss+"'>就让往事都随风,都随风吧</a>

闭合标签，如下；

<a href='#' onclick="alert(11)">'>就让往事都随风,都随风吧</a>

所以str 为 #' οnclick="alert(11)">

输入，得到xss 结果

同样的，由于直接拼接到 get 的请求参数，所以这也是个反射型；可以直切把url复制出来，达到攻击效果；