假设我有以下代码:
//--get the value that was passed in via a query string parameter
var passedInQueryStringValue = getQueryStringValueFor("someKey");
//--append the value to the window.location as such:
window.location = "https://example.com?q=" + passedInQueryStringValue ;
这容易受到XSS(或与此有关的任何其他攻击)的影响吗?假设example.com正确处理了q的任何值,因为那不是我感兴趣的部分。
这里有些可疑,但我并不肯定这里存在漏洞。
答案 0 :(得分:0)
这完全取决于example.com对查询字符串q的作用
答案 1 :(得分:-1)
对于Adrian和@GuyT,此代码是安全的,并且不受XSS或代码注入的影响。
example.com当然不能对q的值做任何愚蠢的事情(例如将其打印为HTML)-但这不是这个问题的目的。