gpt4 book ai didi

javascript - 使用 document.write 显示 window.location.search 是否不安全/易受 xss 攻击?

转载 作者:塔克拉玛干 更新时间:2023-11-02 21:18:27 25 4
gpt4 key购买 nike

我有一个页面,我只想将查询字符串传递到另一个页面。没有可用的服务器端编程,只有针对这个特定客户端的 HTML(我只能使用 javascript/jquery)。他们有一个流程,他们希望将几个参数传递给定价页面,如下所示:

http://www.mydomain.com/pricing.html?affiliate=123&store=345

在定价页面上,我要做的就是收集完整的查询字符串 (?affiliate=123&store=345) 并将其传递到应用程序页面:

http://www.mydomain.com/application.html?affiliate=123&store=345

如果我将以下 javascript 用于定价页面上的链接以将它们传递到应用程序页面,是否会引入任何类型的跨站点脚本或其他漏洞?

<script type="text/javascript">document.write('<a href="http://www.mydomain.com/application.html'+location.search+'">Apply Now</a>');</script>

最佳答案

是的,您容易受到 XSS 攻击。

$("<a>").attr("href", 'http://www.mydomain.com/application.html'+location.search).text("Apply now").appendTo(document.body)

关于javascript - 使用 document.write 显示 window.location.search 是否不安全/易受 xss 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18790785/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com