Допустим, на сайте есть ошибка XSS. Существует простая адресная форма, и после ее отправки введенная информация отображается на той же странице без экранирования. Введенная информация обрабатывается с помощью запроса POST, поэтому вы не можете определять переменные через URL. Итак, по сути, скрипт внедряется на приватную страницу, которая видна только пользователю, отправившему злонамеренный запрос.
Можно ли каким-то образом злоупотреблять этой ошибкой? Может ли это быть угрозой для других пользователей?
Вот пример кода:
<form method="POST" >
<input type="text" name="addressline1" />
<input type="text" name="addressline2" />
<button>Submit</button>
</form>
<?php
if(isset($_POST["addressline1"]) && isset($_POST["addressline2"])){
$adress = $_POST["addressline1"]."<br />".$_POST["addressline2"];
echo "<h1>YOUR ADDRESS IS: <br />".$adress."</h1>";
}
?>
Я новичок в этой системе безопасности, и я не мог придумать сценарий, в котором эта ошибка могла бы быть угроза для других пользователей. Я был бы очень рад, если бы ребята смогли мне помочь. Спасибо.