$_SERVER['PHP_SELF']漏洞不是“工作”？

Question

看着一个客户的旧代码，他用

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />

我想知道它是否受制于XSS，但当我尝试：

• 从Apache找不到form.php"><script>alert('xss');</script> => 404
• 我的应用程序的form.php/"><script>alert('xss');</script> => 404

我必须指定我也在url中使用?action=specific_page，以便其正常使用。

这是否意味着没有XSS可以使用PHP_SELF，还是意味着我尝试的方法不对？

Answer 1

如果您的表单位于form.php脚本，请尝试使用浏览器中的url (如http://yoursite.com/form.php/"><script>alert('XSS')</script> )访问它，以查看它是否容易被注入。

如果它什么也不做，那么您的配置就会阻止这一点，至少对于这个特定的文件是这样的。

(当然，您应该使用类似于htmlspecialchars($_SERVER['SCRIPT_NAME'])的东西。)