在 domain-one.com 上,使用以下代码通过javascript编写iframe元素。 该iframe的src属性网址需要接收为 domain-one.com
提供的网址参数例如
domain-one.com?par1=value1&par2=value2
<script type="text/javascript">
var params = window.location.search.substring(1);
if (params && params.length > 0) {
document.write('<iframe src="https://example.com/page?col=2&' + params + '"></iframe>');
}
else {
document.write('<iframe src="https://example.com/page"></iframe>');
}
</script>
使用此代码,可以为domain-one.com提供任意数量的参数和任何值。 这感觉很不安全。
什么是将风险最小化的最佳实践?是否需要转义或编码? 使用上面的代码,客户端可以执行什么漏洞。
预先感谢