Sul nostro sito utilizziamo google analytics e dobbiamo inserire il cookie GA nell'URL poiché abbiamo un dominio a due lettere e IE impone alcune limitazioni sui cookie. Ciò significa che quando si passa da un sottodominio a questi URL lunghi si aggiunge la stringa di cookie aggiunta dopo un hash:
http://test.ab.la#_utma=what_have_you&_utmc=something_else&so=on&so=on
Quindi, ho aggiunto questo codice:
(* Remove fragment (the part after #) from URL if it contains a Google Analytics cookie.
We do this to hide the extremely long URLs that otherwise will be visible to the users.
Will not work in IE and other browsers that do not support history.replaceState().
Use GA's push functionality to do this to make sure the page has been tracked before
removing cookie information.*)
_gaq.push(function() {
if (window.history &&
window.history.replaceState &&
location.href.indexOf("__utma") > 0) {
window.history.replaceState({}, "", document.location.href.split("#")[0]);
}
});
Dopo aver guardato un discorso a Jfokus di John Wilander dove ha menzionato uno specifico problema di sicurezza di Twitter , sono diventato un po 'nervoso.
La mia domanda è: Il mio piccolo hack potrebbe introdurre buchi di sicurezza, XSS o altri? Non pensare , quindi suppongo tu abbia sentito che prima.
Aggiornamento:
Forse dovrei chiarire la mia domanda forse un po 'poco chiara: ho sospettato che non stavo avendo lo stesso identico problema di sicurezza di Twitter, ma visto che sto facendo cose simili mi chiedo se ci sono altre vulnerabilità nel mio codice?