В друг въпрос попитах дали беше възможно да се направи това:
<script type = "text/javascript" src = "/js/myScipt.js?v=3"></script>
и след това вземете стойността на v в myScipt.js с помощта на jQuery или JavaScript. Очевидно, да, може да се направи така:
var getV = document.currentScript.src.split("?v=")[1]; // JS
var getV = $('script').last().attr("src").split("?v=")[1]; // jQuery
Моят нов въпрос - Създавам ли някакъв вид риск за сигурността, който може да бъде използван, като правя това? Ако е така, има ли начин да се дезинфекцира стойността на queryString, за да се елиминира рискът?
В случай, че има значение, myScript.js използва jQuery, за да вмъкне в страницата някакъв HTML, който конструира (някои div и изображение) въз основа на някои условни условия.
eval()
, тогава очевидно имате проблем със скрипт между сайтове. Ако го напишете в HTML маркиране (напр. сinnerHTML
,$el.html()
илиdocument.write()
), тогава имате проблем с HTML инжектиране, което също води до скриптове между сайтове. Ако създавате HTML безопасно, като използвате DOM текст и свойства на атрибути, тогава сте добре. - person bobince   schedule 29.10.2016