<html>
<meta http-equiv="Content-Security-Policy" content="default-src 'none'; script-src 'self';">
<?php
highlight_string
(file_get_contents(__FILE__true));
header('Content-Type: text/html; charset=UTF-8');
header('X-XSS-Protection: 0');
$x=$_GET['x'];
if (
strpos($x'ſ') !== false) {
    echo 
'Huh! I fixed it already Hacker ;)';
    die();
}
$x=str_ireplace('<script','BLOCKED',$x);
$x mb_convert_case($xMB_CASE_UPPER);
echo 
$x;
?>
</html> 
PAYLOAD