为何能够alert(1)?

是利用html解析器进行注入,-->让解析器误认为已经结束了script

看这个的level 15解释

http://www.cnblogs.com/renzongxian/p/5617551.html

<script>标签内的代码被解析为

console.log("junk_string") < /junk_regexp/ ; alert(1) // -->

其中，junk_string:<!--<script>，junk_regexp: script><script>console.log(")

就是 原代码和
console.log("<!--<script>")</script> <script>console.log(");/;alert(1)//-->等价 (不信你直接在console输入上面代码,试下)

代码有问题，执行不了，转义错了吧

感谢aristotll的解答，我再总结下就是：
html5会把 <!--<script><语句--> 中的语句用js引擎去解析。
这里的 /script><script>console.log(");/ 被解析成了正则，alert后面加//是为了注释掉后面的-->防止出错