javascript - document.write を使用して window.location.search を表示していますか? xss に対して安全ではありませんか?

Question

クエリ文字列を別のページに単純に渡したいページがあります。サーバー側のプログラミングは利用できず、この特定のクライアント用の HTML のみが利用可能です (javascript/jquery のみを使用できます)。次のように、価格設定ページにいくつかのパラメーターを渡したいプロセスがあります。

http://www.mydomain.com/pricing.html?affiliate=123&store=345

価格設定ページでやりたいことは、完全なクエリ文字列 (?affiliate=123&store=345) を収集し、それをアプリケーション ページに渡すことだけです。

http://www.mydomain.com/application.html?affiliate=123&store=345

価格設定ページのリンクに次の JavaScript を使用してアプリケーション ページに渡すと、何らかのクロスサイト スクリプティングやその他の脆弱性が発生しますか?

<script type="text/javascript">document.write('<a href="http://www.mydomain.com/application.html'+location.search+'">Apply Now</a>');</script>

Answer 1

簡単に言えば、まだ存在しない脆弱性を導入していません (クエリ文字列を介して価格ページにその情報を既に渡しているため)。

より長い答えは、application.htmlページの情報をどうするかによって異なります。クエリ文字列で渡された変数が状態を変更したり、サーバー上の保護された情報にアクセスしたりできるようにしている場合、または検証なしでそれらを SQL クエリなどにフィードしている場合は、脆弱性が発生しています。しかし、別のメソッドを使用してパラメーターを渡す (POST など) だけでは、これは変わりません。これは、取得したデータを検証して使用する方法の特徴です。