我下载的也是 yxcms1.4.7, 测试xss漏洞的时候, poc <svg/onload=alert(1)> 这个的确可以使用, 但是原理不对, 前台使用了 removeXSS进行了过滤, 不过 是后台编辑留言的时候, 又进行了一次还原, svg的原理 跟 script的原理不太一样