Хороший способ сделать то, о чем вы говорите, это использовать соглашение о параметрах "data-" в вашем теге <body> или что-то подобное.
<body data-startmsg='Password successfully changed'>
<!-- whole page of whatever -->
</body>
Теперь ваш JavaScript & mdash; который не должен быть встроенным скриптом на странице & mdash; просто нужен обработчик «ready» или «load», где он может проверять атрибут «data-startmsg» на <body>, показывая всплывающее окно его там.
Есть много вариантов, в зависимости от сложности вашей системы обмена сообщениями. Например, если всплывающим окнам может потребоваться более сложная компоновка или ввод данных формы или тому подобное, вы можете просто вывести это на страницу как <div> (или, я думаю, <aside>) элементы с классом, который делает их скрытыми до появления кода всплывающего окна. могу их найти.
изменить & mdash; чтобы уточнить, я думаю, что заставить ваш код на стороне клиента работать так, как вы описываете на основе компонентов URL, вероятно, довольно плохая идея, потому что она делает ваши страницы потенциально более уязвимыми для большего количества видов Векторы атаки XSS. Если JavaScript-код берет свои подсказки только от тех частей страницы, которые были полностью настроены защищенным кодом на сервере, вам будет сложнее использовать атаки при некоторой уязвимости при очистке параметров, поскольку при такой настройке код на стороне клиента будет с удовольствием подчиняемся параметрам в URL, которые вы, возможно, не предполагали.