跨站腳本

Question

我的服務器上有一個JavaScript。 我想向訪問者提供可以以Google Analytics（分析）的方式放置在服務器上的javascript代碼。 例如：

<script type="text/javascript" src="http://www.somedomain.com/script/script.js?id=2001102"></script>

我已經完成所有工作，直到需要獲取ID。 我只是不確定該用什么。

我同時嘗試了location.href和location.search，但這使我獲得了嵌入腳本的文件的url + param，而不是“ script.js？id = XSOMEIDX”

在script.js中，我具有以下內容：

function requestContent() {   
var script = document.createElement("script");
script.src = "http://www.somedomain.com/script/xss_script.php?id="I WANT TO INPUT ID HERE+"&url="+location.href;
document.getElementsByTagName("head")[0].appendChild(script);

}

有什么方法可以讓id = XSOMEIDX放入xss_script.php？id =嗎？

提前致謝！

Answer 1

您可以使用URL重寫將id = XSOMEIDX放入xss_script.php？id =

一個mod重寫規則將如下所示：

RewriteRule ^/scripts/([a-zA-Z0-0]+)/script.js$ /scripts/script.php?id=$1

這樣，您可以簡單地要求人們包括yoursite.com/scripts/{id}/scripts.js

Answer 2

如何設置具有特定屬性的外部腳本標簽？

<script data-my-script="my_value" type="text/javascript" src="http://www.somedomain.com/script/script.js?id=2001102"></script>

在現代瀏覽器中，您可以執行

var scripts = document.querySelectorAll("script[src][data-my-script]");
$.each(scripts, function(i, script) { console.log(script.src); });

並遍歷nodeList ...

注意：querySelectorAll無法跨瀏覽器工作注意：querySelectorAll返回類似數組的對象