以下内容适用于Chrome,但在输入(未粘贴)到网址栏时不适用于Firefox(27):
javascript:alert('hi')
为什么?
直接输入地址栏的JavaScript URI在许多浏览器中被禁止,以防止基于社交工程的书签粘贴攻击.
这种攻击的一个例子是"转到Facebook并将其粘贴到您的地址栏中,以便查看谁查看了您的页面",代码实际上会授予您对攻击者的完整访问权限.
某些浏览器可能会区分粘贴和键入的脚本(基于类型的脚本不太可能是攻击).