此 javascript 代码是否易受 XSS 攻击

Question

我有一个简单的 example.js 文件，它包含在 html <script src="example.js"></script>

'use strict';

function getURLParameter(name) {
  return new URLSearchParams(window.location.search).get(name)
}

function myFunction() {
    var myParam = '?my_param=' + getParam('my_param');
    $.ajax({
    cache: false,
    url: 'https://example.com' + clientParam,
    type: 'GET',
    [....]
}

上面的javascript是否容易受到XSS攻击？我原以为 var myParam = '?my_param=' + getParam('my_param') 甚至在进行字符串连接时 avax 调用中的部分会是但我无法断开字符串并且 " 被 '\"'[= 取代20=]

例如像这样简单的东西

https://mypage.com?my_param=test';alert(1);

我想将 var myParam = '?my_param=' + getParam('my_param'); 替换为 var myParam = '?my_param=test';alert(1);

Answer 1

没有

JavaScript不会把函数返回的字符串当作JS源码来执行。它们只是个字符串。

此 javascript 代码是否易受 XSS 攻击

Is this javascript code vulnerable to XSS

javascript

xss

poc