[英]Codeigniter $_SERVER['PHP_SELF'] not working in views
[英]$_SERVER['PHP_SELF'] vulnerability not “working”?
看着客户的旧代码,他正在使用
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />
我想知道它是否受XSS限制,但是当我尝试时:
form.php"><script>alert('xss');</script>
=> 404未从Apache找到 form.php/"><script>alert('xss');</script>
=> 404来自我的应用 我必须指定我也将url中的?action = specific_page正常使用。
这是否意味着使用PHP_SELF
不可能实现XSS,或者这意味着我尝试了错误的方法?
如果您的表单位于form.php
脚本中,请尝试在浏览器中使用URL访问它,例如http://yoursite.com/form.php/"><script>alert('XSS')</script>
它很容易注射。
如果不执行任何操作,则您的配置至少在此特定文件中阻止该操作。
(当然,无论如何,您都应该使用类似htmlspecialchars($_SERVER['SCRIPT_NAME'])
的东西。)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.