关于window.location.href的xss

BananaOrz 2014-06-20 11:51:45

形如这个样子 <input type="button" value="返回" onClick="window.location.href='xxxx.action?yy=<c:out value="${param.yy}"/>&tab=<c:out value="${param.tab}"/>'"/>
会引起xss么？如果会，怎么样防范呢？

...全文

1691 回复打赏收藏转发到动态举报

写回复

用AI写文章

切换为时间正序

请发表友善的回复…

发表回复

今天项目需求，点击一个按钮获取input输入框里的值，在另一个页面中获取这个值，并显示出来。一开始的做法是直接在路径中拼接参数，如下： window.location.href = ctx+"/show/search?word="+word+"&flag="+flag; 要在另外一个页面取值需要截取路径中的参数，可以实现需求。但是后来不想让别人直接在路径中看到参数，使用了另外一种方法：...

javascript中的location.href有很多种用法，主要如下。 self.location.href="/url" 当前页面打开URL页面 location.href="/url" 当前页面打开URL页面 windows.location.href="/url" 当前页面打开URL页面，前面三个用法相同。 this.location.href="/url" 当前页面打开URL页面 pa...

document.location 这个对象包含了当前URL的信息 location.host 获取port号 location.hostname 设置或获取主机名称 location.href 设置或获取整个URL location.port设置或获取URL的端口号 location.search 设置或获 document.location 这个对象包含了当前URL的信息 location.host 获取port号 location.hostname 设置或获取主机名称 location.hre

XSS攻击什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击例如在提交表单后，展示到另一个页面，可能会受到XSS脚本注入，读取本地cookie远程发送给黑客服务器端。 <script>alert('sss')</script> <script>window.location.href='http://www.itmayiedu.com';</script> 对应html源代码: <script&.

场景：需要获取类似如下url的hash值并做跳转： http://www.xxx.com/home#/comments?type=0 改进前： (function() { var originalUrl = window.location.href, toUrl = originalUrl.indexOf('#') != -1 ...

JavaScript

87,904

社区成员

224,614

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章