Подвержены ли следующие атаки XSS, особенно в старых браузерах:
<script type='text/javascript'>
document.write('<script src="' + 'someurl.com' + '&url=' + encodeURIComponent(document.URL) +'" type="text/javascript">' + '<\/script>');
</script>
Я читал, что при вызове encodeURIComponent некоторые браузеры не полностью кодируют каждый символ, например, реализация firefoxes:
https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/encodeURIComponent
var set2 = "-_.!~*'()"; // Unescaped Characters
console.log(encodeURI(set2)); // -_.!~*'()
Возможно ли использовать этот фрагмент кода, особенно в старых браузерах?особенно учитывая, что это может быть на каждой странице.