location.href を書き換えるときは良いのですが、読み込むとき、すなわち、
var url = location.href;
的なことをするときには注意が必要です。
なぜなら、クエリ、すなわちlocation.searchで取得できる部分はユーザーが任意に入力することができるからです。
var url = location.protocol + "//" + location.hostname + location.pathname;
的な感じで自前でつくると安全性が増します。
👆
引越し先はこちらです!
location.href を書き換えるときは良いのですが、読み込むとき、すなわち、
var url = location.href;
的なことをするときには注意が必要です。
なぜなら、クエリ、すなわちlocation.searchで取得できる部分はユーザーが任意に入力することができるからです。
var url = location.protocol + "//" + location.hostname + location.pathname;
的な感じで自前でつくると安全性が増します。