Странное поведение RewriteRule

[Fl1N]

Здравствуйте товарищи!

Итак, суть моей проблемы:

Имеется данная условие в .htaccess:

RewriteRule (.*) /?var=$1 [L]

Для того, чтобы работали ссылки вида: mysite.ru/page, но если подставить вместо page например вот это:

<script>alert(/hack/)</script>

, то данный JS код выполняется. Данная переменная $_GET['var'] фильтруется, т.е. по адресу www.mysite.ru/?var=<script>alert(/hack/)</script> JS код не выполняется. Теперь вопрос: Почему JS код выполняется и является ли это потенциальной XSS атакой.

Заранее прощу прощения, если вопрос слишком тупой.

 

[ShoxMaster]

...фильтруется, т.е. по адресу www.mysite.ru/?var=<script>alert(/hack/)</script> JS код не выполняется. Теперь вопрос: Почему JS код выполняется....

Как это понять?
Надо просто запретить символы <> в .htaccess или файле, в котором идём обработка:

RewriteCond %{REQUEST_URI} [^<>]$

Только не имел возможности проверить, потому что <> сразу блочится хостом, для редактирования http.conf или apache.conf недостаточно полномочий.
Нужно добавить это в перед вашим RewriteRule. т.к. исполняемый код на вашем сайте - это потенциальная угроза безопасности вашему сайту, умелых рук в интернете достаточно.