我想在一個靜態html頁面上做一個flash消息。我打算使用下面的代碼,我想知道它是否會帶來安全風險?這是一個安全風險的javascript代碼
$(document).ready(function() {
\t var results = parseURL(window.location.href);
\t
\t if (results['info']) {
\t
\t \t $("#flash").html(urldecode(results['info']));
\t \t $("#flash").addClass("alert-info");
\t \t $("#flash").removeClass("hidden");
\t }
\t
});
function urldecode(str) {
return decodeURIComponent((str+'').replace(/\+/g, '%20'));
}
function parseURL(url) {
var parser = document.createElement('a'),
\t searchObject = {},
\t queries, split, i;
// Let the browser do the work
parser.href = url;
// Convert query string to object
queries = parser.search.replace(/^\?/, '').split('&');
for(i = 0; i < queries.length; i++) {
\t split = queries[i].split('=');
\t searchObject[split[0]] = split[1];
}
return searchObject;
}
<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
<div id="flash" class="alert hidden" role="alert"></div>
是的,感謝Alexander和Paulpro,XSS-Part現在已經很清晰了,你能解釋一下你對社會工程的一些想法嗎? – Michael
好吧,攻擊者可以在*你的網站上顯示任何消息。包括一條消息,告訴用戶做有害的事情,如果他們相信你的網站,他們可能會相信它。或者它可能是令他們討厭的冒犯性的東西,或者是一些讓他們用奇怪的問題來稱呼技術支持的惡作劇。 – Touffy