Diskussion:Cross Site Scripting

@ 91.3.154.3

Kritik bitte im Diskussions-Bereich äußern und NICHT einfach in den Artikel einfügen! Solltest du Verbesserungen vornehmen wollen, dann bitte anständig in den Artikel einpflegen evtl. mit veränderter Gliederung. Neue Inhalte, die einen anderen Ansatz verfolgen, einfach zwischen den bestehenden Inhalt setzen, macht keinen Sinn.

Feedback zu deinen Änderungen

Dann würde die URL entweder nicht mehr erreichbar sein, oder der angehängte String vollkommen unschädlich im $_POST-Array landen.

Nein, die URL ist weiterhin erreichbar. Vom $_POST-Array war nie die Rede, sondern von der Ausführung von clientseitigem Scriptcode. Dieser kommt, wie im Artikel richtig beschrieben, in allen gängigen Browsern zur Ausführung. Probiers aus. Davon abgesehen landet der Code bei diesem Beispiel weder im $_POST - noch im $_GET-Array.

Daraus ergibt sich dann, das auch deine 2. Änderung ab Zeile 47 inhaltlos ist, denn a) war nie die Rede vom $_POST-Array und b) ist dein Versuch Code mit ? anzuhängen, wie du auch selber sagst, ziemlich sinnlos. Daher hat das auch nichts im Artikel verloren.

Deshalb habe ich einen Revert durchgeführt. --Mackz 13:04, 12. Nov 2007 (CET)

Antwort

hab mir sagen lassen, dass das eine Konfigurationsfrage des Apachen sei Normalerweise soll er nur mit ? angehängte Query-Strings an das Skript weiterleiten

Und bei PHP soll man $_SERVER['SCRIPT_NAME'] benutzen. Das wäre sicher gegen diese Form des Einschleusens von Code.