Безопасно ли использовать window.location.href без какой-либо проверки?

Например:

<script>
    var value = window.location.href;
    alert(value);
</script>

Из приведенного выше примера, уязвим ли он для атаки межсайтового скриптинга (XSS)? Если это так, то как? Как злоумышленник может изменить значение window.location.href на вредоносный контент?

Редактировать (вторая ситуация)

Это URL: www.example.com?url=www.attack.com

Просто предположим, что у меня есть функция getQueryString (), которая будет возвращать значение без проверки.

<script> 
    var value = getQueryString('url'); 
    window.location.href = value; 
</script>

Тот же вопрос, уязвим ли он для атаки межсайтового скриптинга (XSS)? Если это так, то как? Как злоумышленник может просто использовать "window.location.href = value" для выполнения XSS?