在javascript中,依赖查询参数触发事件是否存在安全风险
我想根据url上的参数触发一些事件,这样做是否会带来安全风险。 例子 Url=examples.com?#作业 那我会的 Spl=Url.split(“?”) $('a'+spl[1])。触发器('click')在javascript中,依赖查询参数触发事件是否存在安全风险,javascript,Javascript,我想根据url上的参数触发一些事件,这样做是否会带来安全风险。 例子 Url=examples.com?#作业 那我会的 Spl=Url.split(“?”) $('a'+spl[1])。触发器('click') 该示例正在运行,我只想知道这是否不会造成安全风险只要用户能够在不登录的情况下查看,就可以了,而且您不能真正阻止用户调整Javascript 如果可以通过javascript完成某件事,无论发生什么,都不能阻止用户这么做:) 如果这是一个安全页面,请使用过滤器或cookie检查服务器端的
该示例正在运行,我只想知道这是否不会造成安全风险只要用户能够在不登录的情况下查看,就可以了,而且您不能真正阻止用户调整Javascript 如果可以通过javascript完成某件事,无论发生什么,都不能阻止用户这么做:)
如果这是一个安全页面,请使用过滤器或cookie检查服务器端的身份验证。取决于页面上的内容。想象一下,如果你有广告,例如,如果我是一个不道德的广告商,我可以发送大量垃圾信息,链接到
examples.com?#myEvilAd
,让用户自动点击它
这听起来好像我有点偏执——你可能是对的:p但一般来说,在网络安全方面,这是正确的态度
我认为更好的处理方法是建立一个排序的白名单,而不是将URL后缀直接输入事件,这样做:
var spl = url.split("?");
if (spl.length > 1) {
switch (spl[1]) {
case "#job":
$("a #job").trigger("click");
break;
case "#job2":
$("a #job2").trigger("click");
break;
}
}
现在,您可以确保只处理您明确允许的事情