如何在URL中执行JavaScript？

在网页开发中,通过URL调用JavaScript是一种常见需求，常用于传递参数、触发特定功能或实现页面跳转后的动态操作，以下是两种安全可靠的方法及详细实现步骤：

通过URL参数（Query String）传递并执行JS

原理：在URL问号（）后添加参数，JavaScript解析参数后执行对应操作。
示例URL：https://example.com/page?action=showMessage&text=Hello

实现步骤：

1. 解析URL参数：
   使用URLSearchParams解析当前URL中的参数：

   

   // 获取当前URL参数
   const urlParams = new URLSearchParams(window.location.search);
   const action = urlParams.get('action'); // 参数名需小写
   const text = urlParams.get('text');

2. 根据参数执行JS：
   通过条件判断执行对应函数，禁止直接执行参数中的代码（防XSS攻击）：

   // 安全示例：预定义函数白名单
   function showMessage(msg) {
     alert(decodeURIComponent(msg)); // 解码URL编码内容
   }
   // 检查参数并执行
   if (action === 'showMessage' && text) {
     showMessage(text); // 仅执行预定义的安全函数
   }

通过URL哈希（Hash Fragment）动态触发

原理：利用后的哈希值变化，通过hashchange事件监听并响应。
示例URL：https://example.com/page#showModal=true

实现步骤：

1. 监听哈希变化：

   window.addEventListener('hashchange', handleHashChange);
   handleHashChange(); // 页面加载时立即执行一次

2. 解析哈希并执行操作：

   function handleHashChange() {
     const hash = window.location.hash.substring(1); // 去掉#号
     const params = new URLSearchParams(hash);
     if (params.get('showModal') === 'true') {
       openModal(); // 调用预定义函数
     }
   }

关键安全实践（避免XSS攻击）

1. 绝不直接执行URL中的代码：
   禁止使用eval()或new Function()执行URL中的字符串（如?code=alert(1)）。
2. 严格校验参数值：
   • 使用正则表达式验证格式（如只允许字母数字）：if (/^[a-z0-9]+$/.test(param)) { ... }
   • 限制参数范围（如action只允许['showMessage', 'closeModal']）。
3. 转义输出内容：
   若将参数插入DOM，使用textContent而非innerHTML：

   

   document.getElementById('output').textContent = textParam; // 安全

实际应用场景

1. 分享链接定制内容
   ?theme=dark → 自动切换暗色模式。
2. 单页面应用（SPA）路由
   #/user/profile → 加载用户资料页。
3. 广告跟踪参数
   ?utm_source=weibo → 触发统计代码。

通过URL调用JS的核心是解析参数+安全执行，优先使用URLSearchParams解析，配合预定义函数白名单和输入验证，确保功能灵活且无安全破绽，避免任何形式的动态代码执行，这是保护用户的关键。

引用说明参考MDN Web文档中URLSearchParams与Window: hashchange event的技术规范，遵循OWASP XSS防护建议。