Javascript 使用作为URL参数传递的jQuery选择器-安全？_Javascript_Php_Jquery

Javascript 使用作为URL参数传递的jQuery选择器-安全？

javascript php jquery

Javascript 使用作为URL参数传递的jQuery选择器-安全？,javascript,php,jquery,Javascript,Php,Jquery,我需要使用url参数将选择器传递给jquery 比如：page.php？sel=li.current，%23活动，a[href=%27string%27] 然后，php会重复这些内容，如： $('<?=$request[sel]?>').funct(); $（''）.funct（）；我的问题是： 1）这是安全风险吗 2）如果这是一种风险，我如何安全地这样做 jquery代码除了操纵选择器定义的元素的css之外，没有做什么谢谢不，不安全。它容易受到攻击例如，对于sel='

我需要使用url参数将选择器传递给jquery

比如：page.php？sel=li.current，%23活动，a[href=%27string%27]

然后，php会重复这些内容，如：

$('<?=$request[sel]?>').funct();

$（''）.funct（）；

我的问题是：

1）这是安全风险吗

2）如果这是一种风险，我如何安全地这样做

jquery代码除了操纵选择器定义的元素的css之外，没有做什么

谢谢

不，不安全。它容易受到攻击

例如，对于

sel='）；警报（'xssd'）$（'

警报将显示在用户屏幕上。这将允许攻击者执行任意JavaScript。它可以执行代码将他们注销或在他们的网站上为他们执行操作，或显示提示，要求他们重新验证密码。

不，这是不安全的。它容易受到攻击

例如，对于

sel='）；警报（'xssd'）$（“

一个警报将显示在用户的屏幕上。这将允许攻击者执行任意JavaScript。它可以执行代码将他们注销或在他们的网站上为他们执行操作，或者显示提示，要求他们输入密码以重新验证。

为谁安全？你到底想防范什么样的威胁我可以公开链接到

page.php？sel=li.current'）；alert（'youbeenhackedsukerz'）$（'g

@user574632-这会很烦人，但它仍然只是客户端，不会对OP的服务器等造成安全风险。@adeneo确信这个例子是无害的，但它为所有类型打开了大门。如果登录用户通过我的链接访问，我可以访问他们的会话数据，更改他们的密码，等等。这个代码是badYes，但是通过你的会话cookie，我可以在网站上模拟你，然后劫持你的帐户。你看到了吗？对谁安全？你到底想防范什么样的威胁？这意味着我可以公开链接到

page.php？sel=li.current'）；alert（'youbeenhackedsukerz'）$（'g

@user574632-这会很烦人，但它仍然只是客户端，不会对OP的服务器等造成安全风险。@adeneo确信这个例子是无害的，但它为所有类型打开了大门。如果登录用户通过我的链接访问，我可以访问他们的会话数据，更改他们的密码，等等。这个代码是badYes，但是通过你的会话cookie，我可以在网站上冒充你，然后劫持你的帐户。你看到了吗？或者更糟糕的是，有人可能会警告Hello Kitty并吓死某人？@adeneo如果是银行网站，它可以将你所有的钱汇到Hello Kitty:）Pffft，我已经把我所有的钱都给了Hello Kitty，所以这没关系。我只是想做一些类似的事情：

stru-replace（数组（“；”，“，”，“$”），“，”，“$sel”）；

，或者更糟的是，人们可以提醒Hello Kitty，吓死某人？@adeneo如果是银行网站，它可以把你所有的钱汇到Hello Kitty:）Pffft，我已经把我所有的钱都给Hello Kitty了，所以这没关系。我只是想做一些类似的事情：

str\u replace（数组（“；”，“，”，“，”），“$”），“，”，$sel）