在网站(我们之一)的网页上,我可以在网址中输入以下代码:
javascript:createNewWindow('Something', 100, 100, 'Text')
有人可以利用这个吗?
function createNewWindow(url, widthIn, heightIn, title)
{
var strOptions='toolbar=0,location=0,directories=0,status=1,menubar=0,scrollbars=1,resizable=1,width=' + widthIn + ',height=' + heightIn;
var newWin = open( url,title,strOptions );
newWin.focus();
}
答案 0 :(得分:1)
鉴于该代码,createNewWindow()脚本不比原始javascript更容易受到攻击。
答案 1 :(得分:1)
函数createNewWindow()与window.open()具有完全相同的漏洞。你可能不需要担心这一点。
如果您对添加代码的评论意味着您可以提交
javascript:createNewWindow('Something', 100, 100, 'Text')
在表单输入(或作为查询字符串参数)并让它显示在呈现的HTML中,那么您的应用程序确实非常容易受到几种类型的攻击,但不是由于createNewWindow()函数。在这种情况下,问题是从浏览器呈现未经检查的数据。
答案 2 :(得分:1)
这本身并不安全,您需要注意应用程序的其他部分以防止漏洞利用。请务必验证来自浏览器,数据库,外部服务以及您无法控制的任何其他信息的所有信息。
了解跨站点脚本(也称为XSS或CSS)将帮助您了解该代码的风险。
答案 3 :(得分:0)
通常,在您网站上运行的javascript不是漏洞的来源。您应该担心应用程序的服务器端。
然而!您可以使用javascript将漏洞引入您的网站。它被称为DOM Based XSS。您发布的代码不容易受到基于DOM的XSS的攻击。</ p>