Рассматривая старый код клиента, он использует
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />
Мне было интересно, подвержен ли он XSS, но когда я пытаюсь:
form.php"><script>alert('xss');</script>
=> 404 NOT FOUND из Apache form.php/"><script>alert('xss');</script>
=> 404 Из моего приложения Я должен указать, что я также использую? Action = specific_page в URL для его нормального использования.
Означает ли это, что XSS нельзя использовать с помощью PHP_SELF
или это означает, что я пытаюсь сделать это неправильно?