是否将URL参数传递给src路径安全问题?例如:
var type = getUrlParameter('type');
element.scr = "js/" + type + "/main.js"
谢谢
答案 0 :(得分:1)
在现代浏览器中,无法从img(source OWASP)的src attribut执行javascript。我也用<script src="...">测试了它,我无法通过URL参数注入任何javascript。
但这仅适用于现代浏览器(仅适用于使用javascript获取URL参数的特定情况)。你肯定应该总是逃避输出,以确保。
所以回答你的问题,是的,它仍然是一个安全问题,因为并非所有人都使用现代浏览器。
答案 1 :(得分:-1)
如果由于页面加载问题,脚本未加载甚至脚本失败等因素而未将 url参数设置为src,那么您将很难调试,因为用户将被重定向到不需要的url ...