Этот вопрос относится к коду window.location = window.location
как способ обновления страницы и не связан с перенаправлениями/другими переменными.Является window.location = window.location восприимчивым к XSS
Мое понимание заключается в следующем:
window.location = window.location
вызывает страницы для обновления, поскольку браузер будет перемещаться в том же месте, пользователь уже на.
Любое изменение этой переменной с помощью DOM-манипуляции приведет к перезагрузке страницы/загрузке страницы злоумышленника, поэтому эти строки не смогут быть выполнены с измененным значением и, следовательно, не являются кандидатами на атаки с использованием межсайтового скриптинга.
Это правильно?
Edit: Что я действительно спрашиваю, есть ли способ изменить window.location
, не вызывая перезагрузки страницы, так что тогда, когда window.location = window.location
сделан вызов, браузер будет отправлен в другое место.
Что делать, если кто-то открывает консоль и набирает любой произвольный код javascript? Ваш сайт уязвим, если он есть. – Gogol
Если вы делаете это 'window.location = window.location', и страница перезагружается ... то то же самое произойдет снова ... и вы войдете в бесконечный цикл. –
@ Al.G. Я думаю, что это разумно безопасно предположить, что это не будет вызвано на загрузку страницы. – charlietfl