背景与价值window.name在跨站导航间保留,可能导致隐私数据泄露。统一清理与限制使用可降低风险。统一规范加载清理:进入页面时清理不符合规则的window.name。使用限制:仅在同源与白名单页面使用。核心实现清理与限制const allowOrigins = new Set(['https://app.example.com']) function originAllowed(): boolean { try { const u = new URL(document.location.href); return allowOrigins.has(u.origin) } catch { return false } } function sanitizeWindowName() { const s = String(window.name || '') if (!originAllowed()) window.name = '' else if (s.length > 256 || /[^A-Za-z0-9_\-\. ]/.test(s)) window.name = '' } document.addEventListener('DOMContentLoaded', sanitizeWindowName) 落地建议在入口统一执行清理逻辑并限制window.name内容与来源,避免跨站泄露。验证清单非受控来源是否清理;内容是否符合长度与字符集规则。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复