标签: javascript security code-injection
我有一个脚本将通过< script>插入到未知数量的其他网站中。标签。插入后,脚本将读取网页的window.location并使用该信息引入特定于该网页的内容。
在尝试确定加载脚本的网页的主机名时,window.location的安全性如何?它容易被欺骗吗?