允许在 运行 时间更改源是否会使代码容易受到 XSS 攻击?
Does allowing a change of source at run time make the code vulnerable to an XSS attack?
我需要使用 hyperlink 动态更新下面代码中的 "src" link,这又将指向另一个 .js 文件。
以下只是 URL 用于 "src" 的示例。
我的问题是,允许在运行时更改 'src',此代码是否容易受到 XSS 攻击?
如果是,能否请您告知可以采用哪种替代方法?
<script type="text/javascript">(function() {
var customScript = document.createElement('script');
customScript.type = 'text/javascript';
customScript.async = true;
customScript.src = 'https://abcd.com/custom_file1.js';
var s = document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(customScript, s);
})();
</script>
据我所知,您正在添加一个新的 <script> 标签,属性值 src 是在您的 JavaScript 中确定的,而不是由任何类型的用户确定的输入。因此这不会容易受到 XSS 攻击。
这很好。
我需要使用 hyperlink 动态更新下面代码中的 "src" link,这又将指向另一个 .js 文件。 以下只是 URL 用于 "src" 的示例。 我的问题是,允许在运行时更改 'src',此代码是否容易受到 XSS 攻击? 如果是,能否请您告知可以采用哪种替代方法?
<script type="text/javascript">(function() {
var customScript = document.createElement('script');
customScript.type = 'text/javascript';
customScript.async = true;
customScript.src = 'https://abcd.com/custom_file1.js';
var s = document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(customScript, s);
})();
</script>
据我所知,您正在添加一个新的 <script> 标签,属性值 src 是在您的 JavaScript 中确定的,而不是由任何类型的用户确定的输入。因此这不会容易受到 XSS 攻击。
这很好。