4
我正在編寫一個需要將當前頁面位置寫入DOM的腳本,我很關心XSS。以下Javascript代碼段是否安全於XSS?setAttribute()和XSS
var script = document.createElement('script');
script.setAttribute('src', 'http://fake.com?src=' + encodeURIComponent(document.location.href));
document.getElementsByTagName('head')[0].appendChild(script);
我知道,使用document.write()來完成同樣的事情是不安全在不同的瀏覽器,但我從來沒見過任何來源討論如果使用DOM訪問方法是。