Безопасно ли использовать window.location.href и пользовательский ввод на JavaScript без проверки?

Question

Безопасно ли назначать что-то для window.location.href и использовать это для навигации по разным URL?Если нет, то как это должно быть защищено?

Например:

<input type="text" id="search" />
<input id="search-btn" type="button" />

JS:

$('#search-btn').click(function() {
    window.location.href = window.location.href + "/Search/" + $("#search").val();
});

Answer 1

Это абсолютно приемлемо - запрос не будет отображаться на других компьютерах.Как только вы отправите его на сервер, он будет искать все, что они вставят в текстовое поле, и вернет список связанных документов.Поскольку запрос ни разу не анализируется как HTML, вы будете в безопасности.