使用 window.location
和用户输入数据进行重定向时可以进行哪些 XSS 攻击。
我认为是这个
- 用户可以撰写标题包含
http://
的帖子,这样最终用户最终会访问一个不良网站。 - 用户可以编写标题为“
javascript:EvilCode()
”的帖子,我认为这会在某些浏览器中执行?
最佳答案
您可能允许 XSS如果您不首先对数据进行 URL 编码。
关于javascript - window.location 可以进行哪些 XSS 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12913352/