Немного отойду от темы, вот есть rettyPhoto Plugin - это JS галерея.
И вот пишут, мол она не безопасна.
https://packetstormsecurity.com/file...Scripting.html
Если сформировать url: /#!%22%3E%3Cimg%20src=1%20onerror=prompt%280%29;%3E//
мы на страницу можем вставить вредный код.
Нужно сделать вот такой фикс:
hashIndex = parseInt(hashIndex);
hashRel = hashRel.replace(/([ #;&,.+*~\':"!^$[\]()=>|\/])/g,'\\$1');
А почему на свою страницу, которая тупо смотрит URL и показывает его в HTML я не могу вывести вредный код?