강의에서 <script src="/vuln?param=alert(1)"></script> 이렇게 입력해서 alert를 띄웠는데 vuln페이지에서 param을 alert(1)준 페이지 코드자체가 alert(1)이기 때문에 그대로 가져와져서 <script>alert(1)</script>가 된건가요?