作者:狗血饭团联_367 | 来源:互联网 | 2023-10-09 20:00
我正在进行同行评审,我发现人们使用window.location.search检查已发送到给定(搜索)页面的paremetes.这样做是否安全?我想我们可能会在脚本块中的HTML输
我正在进行同行评审,我发现人们使用window.location.search检查已发送到给定(搜索)页面的paremetes.
这样做是否安全?我想我们可能会在脚本块中的HTML输出中打印参数并验证打印的变量而不是查询window.location.
解决方法:
关于这种方法有一点需要注意. window.location在页面加载时静态设置,并且不会检测用户在此之后对地址栏所做的更改.这不应该是一个问题,但重要的是要知道.
将以下代码保存为html文件并在浏览器中将其激活:
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
click me
“click me”锚点将显示当前窗口位置onclick.但是,如果您向地址栏添加任何内容并再次单击该链接,它将报告第一次执行的相同操作.
希望这不是一个问题,我无法想象它会以任何方式影响你,但很高兴知道.