VIKEnut'

Pt

РусскийDeutsch

Tema escuro

Write

Tema escuro

Pt

РусскийDeutsch
securitywindow.locationxsshrefjavascript

É seguro usar window.location.href diretamente sem validação

É seguro usar window.location.href sem nenhuma validação?

Por exemplo:

<script>
    var value = window.location.href;
    alert(value);
</script>

No exemplo acima, ele é vulnerável a ataques de cross-site scripting (XSS)? Se for, então como? Como o invasor pode modificar o valor de window.location.href para o conteúdo malicioso?

Editar (Segunda Situação)

Este é o URL: www.example.com?url=www.attack.com

Apenas assuma que eu tenho uma função getQueryString () que retornará valor sem validação.

<script> 
    var value = getQueryString('url'); 
    window.location.href = value; 
</script>

Mesma pergunta, é vulnerável a ataques de cross-site scripting (XSS)? Se for, então como? Como um invasor pode simplesmente usar "window.location.href = value" para executar o XSS?

questionAnswers(0)

yourAnswerToTheQuestion

Perguntas populares

0 a resposta

Visual Studio (2012 e inferior) exclui propriedades CSS

0 a resposta

Alterar o literal da string em C até o ponteiro? [duplicado]

0 a resposta

não posso usar o comando mongo, mostra o comando não encontrado no mac

0 a resposta

Discar código USSD?

0 a resposta

Como instalar uma versão mais antiga do pacote via NuGet?