Для моего приложения rails я использую атрибуты данных довольно широко, так как это было легко, и сайт никогда не ожидал, что он будет закончен или опубликован, просто что-то, что я сделал для личной забавы. Краткий пример исходного HTML будетData-Attributes и Script Injection
<span class="player-name" data-id="4" >Example Player</span>
Я тогда мог получить доступ к «идентификатор» в CoffeeScript следующим образом:
id = $('.player-name').data('id')
мне было интересно, если это использование данных-атрибутов может потенциально сделать сайт уязвимым для атак через людей, редактирующих атрибут данных в своей консоли разработчика. Также, если есть лучший подход к доступу к данным в jQuery, я был бы очень признателен, если бы кто-то мог указать мне в правильном направлении. Благодаря!
Любые данные, поступающие со стороны клиента, должны быть подтверждены на стороне сервера. Учитывая это предостережение, данные, предоставляемые с помощью атрибутов данных, не отличаются от предоставленного пользователем значения, которое передается на сервер в отношении безопасности. – MarsAtomic