Привет, изучаю кибербезопасность. Часто попадаются уязвимости которые суют часть url в $(). Я знаю что $(payload).somemethod() c payload "" точно сработает. Но почти всегда попадается $() который складывается из частей:

var hash=window.location.hash;

$(".menu a[href='/"+hash+"/']").addClass("active")

Это можно довести до XSS?

apexis said:
↑ (https://antichat.live/posts/4446845/)
Это можно довести до XSS?


Судя по порядку экранирования кавычек, оно не заработает вообще