我需要使用url参数将选择器传递给jquery。
赞:page.php?sel = li.current,%23active,a [href =%27string%27]
那些然后由php回应:
$('<?=$request[sel]?>').funct();
我的问题是:
1)这是安全隐患吗?
2)如果存在风险,我该如何安全地做到这一点?
除了操作选择器定义的元素的css之外,jquery代码没有太大作用。
谢谢
答案 0 :(得分:4)
不,这不安全。它容易受到XSS attack vector的攻击。</ p>
例如,对于sel=');alert('xssd')$(',警报将显示在用户的屏幕上。这将允许攻击者执行任意JavaScript。它可以执行代码以在网站上注销或执行操作,或者显示提示,要求他们提供重新验证的密码。