Javascript 使用url中的字符串是否可能存在安全风险?
我的简化代码:Javascript 使用url中的字符串是否可能存在安全风险?,javascript,security,Javascript,Security,我的简化代码: var key = window.location.hash; someObject[key](); 攻击者是否有可能以某种方式执行其代码?Snipplet应该是“Save”,但它取决于someObject对象中包含的函数以及攻击的含义 试想一下,如果有人改变散列值并执行另一个函数,那么可能发生的最糟糕的事情是什么。或者,如果有人向其他人发送具有特殊哈希值的链接,会发生什么情况。 如果答案是,你不应该保存任何东西 我希望这有帮助Snipplet应该是“Save”,但它取决于s
var key = window.location.hash;
someObject[key]();
攻击者是否有可能以某种方式执行其代码?Snipplet应该是“Save”,但它取决于someObject对象中包含的函数以及攻击的含义
试想一下,如果有人改变散列值并执行另一个函数,那么可能发生的最糟糕的事情是什么。或者,如果有人向其他人发送具有特殊哈希值的链接,会发生什么情况。
如果答案是,你不应该保存任何东西
我希望这有帮助Snipplet应该是“Save”,但它取决于someObject对象中包含的函数以及XSS攻击的含义
试想一下,如果有人改变散列值并执行另一个函数,那么可能发生的最糟糕的事情是什么。或者,如果有人向其他人发送具有特殊哈希值的链接,会发生什么情况。
如果答案是,你不应该保存任何东西
我希望这有帮助是否与服务器有任何交互?若并没有,那个么他只能在自己的机器上执行……攻击者可以做任何他想做的事情,JS正在他的机器上运行。您可以做的是确保服务器端脚本的安全,这样就不会有任何攻击会给您带来任何风险!我高度怀疑这一点可以被利用。不过,如果您不想冒险,只需为
键
@LightStyle设置一个允许值的白名单:如果这是真的,XSS就不会是issue@NiklasB.:XSS总是涉及错误地向客户端发送“实时”内容的服务器。如果你切断服务器部分,就不会有XSS。与服务器有任何交互吗?若并没有,那个么他只能在自己的机器上执行……攻击者可以做任何他想做的事情,JS正在他的机器上运行。您可以做的是确保服务器端脚本的安全,这样就不会有任何攻击会给您带来任何风险!我高度怀疑这一点可以被利用。不过,如果您不想冒险,只需为键
@LightStyle设置一个允许值的白名单:如果这是真的,XSS就不会是issue@NiklasB.:XSS总是涉及错误地向客户端发送“实时”内容的服务器。如果您将服务器部分删除,那么就不会有XSS。