Javascript document.URL有多安全？

假设您正在浏览器URL中存储一些信息。然后您将发送回

---

要执行某些验证的服务器的URL。browser.URL对象的可黑客性如何。某些用户可以轻松更改内存中URL的值吗？

文档。URL

是，但当然可以通过立即在导航栏中更改或通过其他方式手动更改URL中的任何值

---

然而，这一切都不重要，因为无论您在哪里“将URL发送回服务器”，用户都可以轻松地操纵传递给服务器的内容，而无需更改

文档。URL

我假设您特别引用了

浏览器。URL

，因为JavaScript只能获取它，而不能设置它。但是没有人真的需要破解内存中的

浏览器。URL

或其他任何东西，他们只需要在位置栏中键入他们想要的任何URL。

在浏览器中更改URL？简单，永远不要信任客户端如果你想将一些安全数据传递到一个页面到另一个页面，请使用post方法。这是最简单的方法。或者，您也可以使用加密将数据从一个页面发送到另一个页面。问题是，即使您更改导航栏文档上的URL，URL仍将返回原始URL。这可能是你所说的没有实际意义的地方。@specialscope:这没有意义，如果你导航到一个新的URL，即使它是同一个地址，有不同的查询字符串，也不存在你以前所在的URL是“原始”的概念<代码>文档。URL将始终报告您当前所在的URL，甚至只会反映哈希中的一个更改。嗯，我还没有在web服务器的我自己的页面中尝试过，但使用chrome的控制台似乎就是这样。转到stackoverflow.com并启动控制台。键入document.URL，它将提供。下一步删除com并再次执行相同操作，它仍然会给出。删除

.com

会在我的浏览器（chrome）中执行google搜索“stackoverflow”。后续的

document.URL

是

”https://www.google.se/search?q=stackoverflow&sugexp=chrome，mod=15&sourceid=chrome&ie=UTF-8“

有趣！有一件事是，document.URL不能用于任何类型的验证。有趣的是，即使在删除之后，我的firefox也会始终如一地返回最初键入的url。我想我稍后会再去看另一个环境。