Задать вопрос
grigor007
@grigor007
http://goldapp.ru

Можно ли осуществить взлом сайта через $_SERVER['REQUEST_URI'] ?

Добрый день!

Задумался над этим вопросом. Если в форме прописан action="$_SERVER['REQUEST_URI']" или где в атрибуте href тега , то возможно ли каким-то образом внедрить xss или...
  • Вопрос задан
  • 3518 просмотров
Подписаться 3 Оценить Комментировать
Решения вопроса 1
HangGlider
@HangGlider
Можно, если данные не фильтруются.

Форма
<form action="<?=$_SERVER['REQUEST_URI']?>">
...
</form>


при запросе: host.com/form/%22%3E%3Cscript%3Ealert('xss')%3C/script%3E%3Cbr%20class=%22demo

превратится в:
<form action="http://host.com/form/"><script>alert('xss')</script><br class="demo">
...
</form>
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@maxyc_webber
Web-программист
в форме можно вообще не указывать, а оставлять аттрибут пустым. но главное чтоб был
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы