以下是一个理论问题,我希望有人能提供一个答案。
我已经探索了一下,发现以下是非常(危险的)可能的:
$('#link').click(function() {
window.location = 'http://www.malicious-example.com';
return false;
});
现在我可能对JavaScript不是很敏锐,但这似乎是一个巨大的安全漏洞,我的意思是,浏览器认为并显示(在底部)链接确实要到http://google.com,当它最终会导致http://www.malicious-example.com。
有人有关于这个问题的信息吗?有没有采取措施来解决这个问题?
对此没有什么可做的,老实说,我几乎看不到有什么可担心的。几乎不访问一个网页很少是有害的,如果一个网站要这样做,为什么不简单地在页面加载时重定向用户呢?
JavaScript曾经有过一些问题,主要与警告和取消页面更改的能力有关,但大多数合适的浏览器都以各种方式解决了这些问题。例如,如果快速发出两个警报,您可以选择关闭所有进一步的警报,浏览器现在可以检测页面是否试图阻止用户离开,并将输出自己的消息。
这很好地说明了纯html网页和javascript网页之间的区别。使用javascript编写的网页实际上是一个小程序。当你运行这个程序时,你必须在一定程度上信任程序员。程序员可能会像您演示的那样"重新编程"链接,但他可以做的更多。他不需要等你点击链接。他可以将鼠标悬停在图像或其他完全无害的动作上。
Javascript是一门功能强大的语言。这使得它很有用,但也使它具有潜在的危险,就像用其他编程语言编写的程序一样。