我正在编写一个需要将当前页面位置写入DOM的脚本,我很担心XSS.以下Javascript片段是否可以安全地使用XSS?
var script = document.createElement('script');
script.setAttribute('src', 'http://fake.com?src=' + encodeURIComponent(document.location.href));
document.getElementsByTagName('head')[0].appendChild(script);
我知道使用document.write()来完成同样的事情在各种浏览器中并不安全,但我没有看到任何来源讨论是否使用DOM访问方法.