Javascript 正在将URL参数传递给元素';src易受攻击?
向src路径传递URL参数是否存在安全问题?例如:Javascript 正在将URL参数传递给元素';src易受攻击?,javascript,security,xss,javascript-injection,Javascript,Security,Xss,Javascript Injection,向src路径传递URL参数是否存在安全问题?例如: var type = getUrlParameter('type'); element.scr = "js/" + type + "/main.js" 谢谢如果由于页面加载问题、脚本未加载甚至脚本失败等原因,元素没有获得所需的url参数作为src,那么调试将非常困难,因为用户将被重定向到现代浏览器中不需要的url。,无法从img()的src属性执行javascript。我也用对它进行了测试,我无法通过URL参数注入任何javascript 但
var type = getUrlParameter('type');
element.scr = "js/" + type + "/main.js"
谢谢如果由于页面加载问题、脚本未加载甚至脚本失败等原因,元素没有获得所需的url参数作为
src
,那么调试将非常困难,因为用户将被重定向到现代浏览器中不需要的url
。,无法从img()的src属性执行javascript。我也用
对它进行了测试,我无法通过URL参数注入任何javascript
但这只适用于现代浏览器(并且只适用于使用javascript获取URL参数的特定情况)。为了确保安全,您肯定应该总是避开输出
所以要回答你的问题,是的,这仍然是一个安全问题,因为并不是所有人都使用现代浏览器。不是。这不是一个安全问题。你到底为什么要这么做?您对它所做的操作可能会引起安全问题。我会将其视为一个问题,并根据允许的类型列表对类型参数进行验证。这本身不是一个问题,但可以是一个问题与另一个问题的结合。