Javascript 使用url中的字符串是否可能存在安全风险？

我的简化代码：

var key = window.location.hash;

someObject[key]();

攻击者是否有可能以某种方式执行其代码？

Snipplet应该是“Save”，但它取决于someObject对象中包含的函数以及攻击的含义

试想一下，如果有人改变散列值并执行另一个函数，那么可能发生的最糟糕的事情是什么。或者，如果有人向其他人发送具有特殊哈希值的链接，会发生什么情况。 如果答案是，你不应该保存任何东西

我希望这有帮助

Snipplet应该是“Save”，但它取决于someObject对象中包含的函数以及XSS攻击的含义

试想一下，如果有人改变散列值并执行另一个函数，那么可能发生的最糟糕的事情是什么。或者，如果有人向其他人发送具有特殊哈希值的链接，会发生什么情况。 如果答案是，你不应该保存任何东西

---

我希望这有帮助

是否与服务器有任何交互？若并没有，那个么他只能在自己的机器上执行……攻击者可以做任何他想做的事情，JS正在他的机器上运行。您可以做的是确保服务器端脚本的安全，这样就不会有任何攻击会给您带来任何风险！我高度怀疑这一点可以被利用。不过，如果您不想冒险，只需为

键

@LightStyle设置一个允许值的白名单：如果这是真的，XSS就不会是issue@NiklasB.：XSS总是涉及错误地向客户端发送“实时”内容的服务器。如果你切断服务器部分，就不会有XSS。与服务器有任何交互吗？若并没有，那个么他只能在自己的机器上执行……攻击者可以做任何他想做的事情，JS正在他的机器上运行。您可以做的是确保服务器端脚本的安全，这样就不会有任何攻击会给您带来任何风险！我高度怀疑这一点可以被利用。不过，如果您不想冒险，只需为

键

@LightStyle设置一个允许值的白名单：如果这是真的，XSS就不会是issue@NiklasB.：XSS总是涉及错误地向客户端发送“实时”内容的服务器。如果您将服务器部分删除，那么就不会有XSS。