我想根據url上的參數觸發一些事件,確實會造成安全風險。 示例 Url = examples.com?#job 然後我做 Spl = Url.split('?') $('a'+ spl [1]).trigger('click')。是依靠查詢參數來觸發事件在javascript中的安全風險
的例子是工作,我只是想知道,如果這不會帶來安全風險
我想根據url上的參數觸發一些事件,確實會造成安全風險。 示例 Url = examples.com?#job 然後我做 Spl = Url.split('?') $('a'+ spl [1]).trigger('click')。是依靠查詢參數來觸發事件在javascript中的安全風險
的例子是工作,我只是想知道,如果這不會帶來安全風險
只要用戶可以看到沒有登錄,這是很好,你不能真正阻止用戶調整的Javascript 。
如果事情可以通過JavaScript來完成,不管你無法讓自己的用戶做:)
如果是安全網頁,使用過濾器或餅乾在服務器端查看驗證。
取決於頁面上的內容。想象一下,如果您有廣告,例如 - 如果我是一個不擇手段的廣告客戶,我可以發送大量鏈接到examples.com?#myEvilAd
的垃圾信息,並讓用戶自動點擊它。
這可能聽起來像我是偏執狂 - 你可能是對的:但通常這是對網絡安全的正確態度。
我認爲更好的方式來處理,這將是有各種各樣的白名單 - 而不是將URL後綴直入的情況下,做這樣的事情:
var spl = url.split("?");
if (spl.length > 1) {
switch (spl[1]) {
case "#job":
$("a #job").trigger("click");
break;
case "#job2":
$("a #job2").trigger("click");
break;
}
}
現在,你才能確定你明確允許的事情將被處理。