0

查看客户的旧代码,他正在使用

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />

我想知道它是否受到 XSS 的影响,但是当我尝试时:

  • form.php"><script>alert('xss');</script>=> 404 未从 Apache 中找到
  • form.php/"><script>alert('xss');</script>=> 404 来自我的应用

我必须指定我还在 url 中使用 ?action=specific_page 以供正常使用。

这是否意味着无法使用 XSS,PHP_SELF或者这是否意味着我以错误的方式尝试它?

4

1 回答 1

4

如果您的表单位于form.php脚本中,请尝试使用浏览器中的 url 访问它,http://yoursite.com/form.php/"><script>alert('XSS')</script>以查看它是否容易被注入。

如果它不做任何事情,您的配置会阻止这种情况,至少对于这个特定文件是这样。

(当然,htmlspecialchars($_SERVER['SCRIPT_NAME'])无论如何你都应该使用类似的东西。)

于 2012-11-06T09:40:09.573 回答