是否允许在运行时更改源代码使代码容易受到XSS攻击?

时间:2017-07-25 08:38:06

标签: javascript security xss

我需要使用超链接动态更新下面代码中的“src”链接,而超链接又指向另一个.js文件。 以下只是用于“src”的示例URL。 我的问题是,允许在运行时更改'src',这段代码是否容易受到XSS攻击? 如果是,您能否建议采取哪种替代方法?

<script type="text/javascript">(function() {
var customScript = document.createElement('script'); 
customScript.type = 'text/javascript'; 
customScript.async = true; 
customScript.src = 'https://abcd.com/custom_file1.js'; 
var s = document.getElementsByTagName('script')[0]; 
s.parentNode.insertBefore(customScript, s); 
})();
</script>

1 个答案:

答案 0 :(得分:2)

据我所知,您正在添加一个新的<script>标记,其中您的JavaScript中确定了属性值src,而不是通过任何类型的用户输入。因此,这不会受到XSS攻击的影响。

这很好。

相关问题
最新问题