爲了有一個URL友好的應用程序,我將它存儲的上下文在URL中的JSON,這給像:在URL中編碼JSON時是否存在任何XSS威脅?
http://mysite.dev/myapppage/target#?context={%22attr1%22%3A{%22target_id-0%22%3A{%22value%22%3A%223%22%2C%22label%22%3A%22Hello%22}}}
編碼一個基本的背景:
{
"attr1":
{
"target_id-0":
{
"value": "3",
"label": "Hello"
}
}
}
我序列化我的對象有:
:JSON.stringify(context)
我與它反序列化
var hashParamsElements = window.location.toString().split('?');
hashParamsElements.shift(); // we just skip the first part of the url
var hashParams = $.deparam(hashParamsElements.join('?'));
var contextString = hashParams.context;
var context = JSON.parse(contextString);
只存儲上下文以讀取變量,其中沒有評估代碼。有人可以告訴我它是否是XSS安全的?
如果存在威脅:我該如何避免它?
問題+1。我喜歡這個方法:) – Jashwant 2012-07-09 21:39:14