我有一个简单的example.js
文件,它包含在html中<script src="example.js"></script>
'use strict';
function getURLParameter(name) {
return new URLSearchParams(window.location.search).get(name)
}
function myFunction() {
var myParam = '?my_param=' + getParam('my_param');
$.ajax({
cache: false,
url: 'https://example.com' + clientParam,
type: 'GET',
[....]
}
上述javascript易受XSS攻击吗?我本以为var myParam = '?my_param=' + getParam('my_param')
甚至在做字符串连接时avax调用内部的部分是,但我不能破坏字符串,"
被'"'
取代例如像这样简单的
https://mypage.com?my_param=test';alert(1);
我想将var myParam = '?my_param=' + getParam('my_param');
替换为var myParam = '?my_param=test';alert(1);
No.
JavaScript不会像执行JS源代码那样执行函数返回的字符串。它们只是字符串。