Коротка відповідь : оновіть сторінку після первинного подання JavaScript або натисніть URL-адресу, яка відображатиме сторінку, яку ви редагуєте.
Довга відповідь : оскільки текст, який ви заповнили у формі, включає javascript, і браузер не обов’язково знає, що ви є джерелом javascript, браузеру безпечніше вважати, що ви не є джерелом цього JS, і не запускати його.
Приклад : Припустимо, я дав вам посилання на вашу електронну пошту або facebook з яваскриптом. І уявіть, що javascript надішле всім вашим друзям моє круте посилання. Отже, гра, як отримати посилання на виклик, стає простою, знайдіть місце для відправки javascript таким чином, щоб воно було включено на сторінку.
Chrome та інші веб-переглядачі WebKit намагаються зменшити цей ризик, не виконуючи жодного JavaScript, який є у відповіді, якщо він був присутній у запиті. Мою підлу атаку було б зірвано, бо ваш браузер ніколи не запускав би цю JS.
У вашому випадку ви подаєте його у поле форми. Поле форми форми спричинить візуалізацію сторінки, яка відображатиме Javascript, викликаючи занепокоєння браузера. Якщо ваш javascript справді збережено, натискання тієї самої сторінки без подання форми дозволить її виконати.