クライアントの古いコードを見て、彼は使用しています
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />
XSSの対象なのかなと思っていたのですが、やってみると:
form.php"><script>alert('xss');</script>
=> Apache から 404 NOT FOUNDform.php/"><script>alert('xss');</script>
=> 404 アプリから
通常の使用のために、URL で ?action=specific_page も使用することを指定する必要があります。
それは、XSSを使用PHP_SELF
できないということですか、それとも間違った方法で試しているということですか?