![](/img/trans.png)
[英]Codeigniter $_SERVER['PHP_SELF'] not working in views
[英]$_SERVER['PHP_SELF'] vulnerability not “working”?
看着客戶的舊代碼,他正在使用
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />
我想知道它是否受XSS限制,但是當我嘗試時:
form.php"><script>alert('xss');</script>
=> 404未從Apache找到 form.php/"><script>alert('xss');</script>
=> 404來自我的應用 我必須指定我也將url中的?action = specific_page正常使用。
這是否意味着使用PHP_SELF
不可能實現XSS,或者這意味着我嘗試了錯誤的方法?
如果您的表單位於form.php
腳本中,請嘗試在瀏覽器中使用URL訪問它,例如http://yoursite.com/form.php/"><script>alert('XSS')</script>
它很容易注射。
如果不執行任何操作,則您的配置至少在此特定文件中阻止該操作。
(當然,無論如何,您都應該使用類似htmlspecialchars($_SERVER['SCRIPT_NAME'])
的東西。)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.