gpt4 book ai didi

javascript - 允许在运行时更改源代码是否会使代码容易受到 XSS 攻击?

转载 作者:行者123 更新时间:2023-12-03 03:47:49 29 4
gpt4 key购买 nike

我需要使用超链接动态更新以下代码中的“src”链接,该超链接又指向另一个 .js 文件。以下只是用于“src”的示例 URL。我的问题是,允许在运行时更改“src”,此代码是否容易受到 XSS 攻击?如果是,您能否建议可以采取哪种替代方法?

<script type="text/javascript">(function() {
var customScript = document.createElement('script');
customScript.type = 'text/javascript';
customScript.async = true;
customScript.src = 'https://abcd.com/custom_file1.js';
var s = document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(customScript, s);
})();
</script>

最佳答案

据我所知,您正在添加一个新的 <script>标签,其中属性值src由 JavaScript 决定,而不是由任何类型的用户输入决定。因此,这不会受到 XSS 攻击。

这完全没问题。

关于javascript - 允许在运行时更改源代码是否会使代码容易受到 XSS 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45298067/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com