前端之家

  1. 首页
  2. 问答

清除从url传递给iframe src属性的参数

问答

domain-one.com 上,使用以下代码通过javascript编写iframe元素。 该iframe的src属性网址需要接收为 domain-one.com

提供的网址参数

例如 domain-one.com?par1=value1&par2=value2 

<script type="text/javascript">
  var params = window.location.search.substring(1);

  if (params && params.length > 0) {
    document.write('<iframe src="https://example.com/page?col=2&' + params + '"></iframe>');
  }
  else {
    document.write('<iframe src="https://example.com/page"></iframe>');
  }

</script>

使用此代码,可以为domain-one.com提供任意数量的参数和任何值。 这感觉很不安全。

什么是将风险最小化的最佳实践?是否需要转义或编码? 使用上面的代码,客户端可以执行什么漏洞。

预先感谢

qinhaichao11111 回答:清除从url传递给iframe src属性的参数
暂时没有好的解决方案,如果你有好的解决方案,请发邮件至:iooj@foxmail.com
iframejavascriptwebsecurity
本文链接:https://www.f2er.com/2943434.html

大家都在问