这个问题涉及到代码
我的理解是:
通过DOM操作更改此变量将导致页面重新加载/加载攻击者的页面,因此这些行不能使用更改后的值执行,因此不是跨站点脚本攻击的候选项。 这是正确的吗? 编辑:我真正想问的是是否有一种方法可以更改
window.location = window.location
作为刷新页面的方法,与重定向/其他变量无关。我的理解是:
window.location = window.location
导致页面刷新,因为浏览器将导航到用户已经在的相同位置。通过DOM操作更改此变量将导致页面重新加载/加载攻击者的页面,因此这些行不能使用更改后的值执行,因此不是跨站点脚本攻击的候选项。 这是正确的吗? 编辑:我真正想问的是是否有一种方法可以更改
window.location
而不会导致页面重新加载,这样当进行 window.location = window.location
的调用时,浏览器将被发送到另一个位置。
window.location = window.location
并且页面重新加载... 那么同样的事情会再次发生... 你将进入无限循环。 - Al.G.window.location.reload()
呢? - Bergiwindow.location
。 - Bergi