看着客户的旧代码，他使用

<form action="<?php echo $_SERVER['PHP_SELF']; ?>" />

我想知道，如果它是受到XSS，但是当我尝试：

• form.php"><script>alert('xss');</script> => 404 NOT从Apache的FOUND
• form.php/"><script>alert('xss');</script> => 404从我的应用程序

我必须指定我也用？行动= specific_page在URL中其正常使用。

这是否意味着没有XSS可能使用PHP_SELF或者这是否意味着我想了错误的方式？

如果你的表格是form.php脚本，尝试在浏览器的网址来访问它像http://yoursite.com/form.php/"><script>alert('XSS')</script>看是否它很容易受到注射。

如果它没有做任何事情，你的配置防止这一点，至少在这个特定的文件。

（当然，你应该使用类似htmlspecialchars($_SERVER['SCRIPT_NAME'])反正。）