Tach,

In Zukunft nur noch POST ;-)
was ändert das an der Anfälligkeit solcher Konstruktionen?
Teste Es

hab ich. Und wenn mein Browser einen Persilschein für Javascript hätte, dann wäre immer noch ein alert-Fenster aufgepoppt. Im Quelltext der CGI-Response ist das eingeschmuggelte Mini-Script jedenfalls drin:

<p>Zeichen: %22><script>alert("hallo%20hotte")</script><%22 Codepoint: U+0025</p>

Wenn ich das Prinzip noch etwas verfeinere, bekomme ich auch noch eine auf Quellcodeebene "saubere" Antwort mit Javascript-alert hin.

Es ist okay, wenn du vom Eingabestring, den du per POST bekommst, nur das erste Zeichen auswertest. Trotzdem ist es nicht fein, wenn du den kompletten Eingabestring wieder unmaskiert in der Ausgabe einbaust. Hier könnte man noch sagen: Wer Unfug eingibt, kriegt auch Unfug zurück. Aber mir geht's ums Prinzip.

Worauf ich aber eigentlich hinaus wollte: Ob du die Formulardaten per GET oder per POST verschickst, ist eigentlich Nebensache. Man kann dir in beiden Fällen unerwartete und unerwünschte Eingaben unterschieben.

So long,
 Martin