Привет, изучаю кибербезопасность. Часто попадаются уязвимости которые суют часть url в $(). Я знаю что $(payload).somemethod() c payload "" точно сработает. Но почти всегда попадается $() который складывается из частей:

var hash=window.location.hash;

$(".menu a[href='/"+hash+"/']").addClass("active")

Это можно довести до XSS?

Судя по порядку экранирования кавычек, оно не заработает вообще