Hello,

Ist das richtig?

Es ist nicht richtig, dass Cross-Site-Scripting und Form-Hijacking immer über die Dialogelemente des Formulares eingeschluest werden. Diese können auch über die URL eingeschluest werden, wenn man z.B. bei PHP-Scripten ein $_SERVER['SELF_PHP'] ohne weitere Maßnahmen als Action-Attribut einsetzt.

Dann kann das Formular, auf das man einen eigenen manipulierenden Link setzt, entführt werden. Die Seite wird vom Originalserver des Originalanbieters geladen und ganz normal angezeigt (und ausgeführt...), aber beim nächsten Request per <form> landet dieser beim Manipulator.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg