Pogledaj malo tematiku oko
XSS. Ovo nije vezano za mod_rewrite, vеć uopšte za URL.
XSS se obično manifestuje tako što ti se kao jedan od parametara prosledi neki JavaScript koji ti onda nehotično ispišeš na svojoj web strani (jer taj parametar ispisuješ inače) što dovede do toga da se izvrši i maliciozni JavaScript kod umetnut na tvoju stranu kroz parametar.
Po tom pitanju, možda je mod_rewrite čak i sigurniji od dinamičkih URL adresa. Recimo, ako navodiš kategoriju kao URL parametar
mojsajt.com/prikaz.php?kategorija=Sport
i ukoliko XSS nije sanatizovan kroz skript, postoji mogućnost da neko prosledi URL tipa
mojsajt.com/prikaz.php?kategorija=<script>alert('prc');</script> ili slično
Sad druge strane ako koristiš mod rewrite, možeš napraviti rule:
RewriteCond %{REQUEST_URI} ^/kategorija/[a-zA-Z]+$
zahvaljujući čemu sprečavaš bilo šta što nije sastavljeno samo od slova ([a-zA-Z]) da prođe na skript za prikaz kategorija.
P.S. Verujem i da će se jedan DTP korisnik ubrzo javiti na ovaj thread sa više informacija o XSS-u.
