Уязвима ли передача параметра URL в src элемента?
Передается ли параметр URL-адреса в проблему безопасности пути src? Например:
var type = getUrlParameter('type');
element.scr = "js/" + type + "/main.js"
Спасибо
Я бы отнесся к этому как к проблеме и проверил бы параметр типа по списку разрешенных типов. Это не проблема сама по себе, но может возникнуть в сочетании с другой проблемой.
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 2
Если элемент не получает требуемого параметр url как src из-за проблем с загрузкой страницы, не загружается скрипт или даже скрипт не работает и т. д., Вам будет сложно отлаживать, поскольку пользователь будет перенаправлен на нежелательный url. ..
В современных браузерах невозможно выполнить javascript из атрибута src img (источник OWASP). Я также тестировал его с <script src = "...">, и мне не удалось вставить какой-либо javascript поверх параметров URL.
Но это касается только современных браузеров (и только в этом конкретном случае, когда вы получаете параметр URL с помощью javascript). Вы обязательно должны избегать вывода на всякий случай.
Итак, отвечая на ваш вопрос, да, это все еще проблема безопасности, потому что не все люди используют современные браузеры.
Нет, это не проблема безопасности. Но зачем тебе это делать? То, что вы с ним сделаете, может вызвать проблемы с безопасностью.