Solução

O código do desafio “protege” contra XSS, mas na computação a intenção não conta. Só conta os resultados.

Colocar javascript:alert(document.domain) no campo de URL do usuário, faria com que a URL gerada dispare a execução do JavaScript ao ser clicada. O javascript: é um pseudo-protocolo feito para executar JavaScript ao clicar em uma URL. Isso é um recurso obsoleto pois hoje em dia esse tipo de interatividade é feita por meio de eventos.

Altere o código desse exercício para fazer uma validação para impedir o uso do pseudo-protocolo javascript na URL… E depois disso explore o XSS novamente usando outro meio.