哈希注入（不安全示例）

此页面将 URL 哈希（# 后内容）直接写入 innerHTML，会导致 XSS。

示例：在地址后添加 #<img src=x onerror=alert(1)>