Mi chiedevo se questa funzione fosse vulnerabile a XSS.
var url = "google.com";
if (url.indexOf("http") != 0) {
url = "http://" + url;
}
$("<a/>").attr("href", url);
L''url' è l'input dell'utente, e <a/>
verrebbe inserito in qualche pagina web.
Non sono riuscito a trovare un modo per eseguire il codice javascript su questa funzione. Ma prima di implementarlo, sarebbe bello che qualcuno possa dare un'occhiata.