CMS selber Programmieren?
bearbeitet von ursus contionabundo> ~~~php
> location.href="<?php echo $_POST['GoTo']; ?>";
> ~~~
>
> `$_POST['GoTo']` wird nicht escaped, auch vor dieser Zeile nicht. Das öffnet die Türen sperrangelweit für XSS-Angriffe. Wer im Glashaus sitzt…
Na?
Wen kann es denn erwischen? Nur den, der den POST gerade selbst gesendet hat - oder?