Безопасен ли следующий код?Безопасен ли этот код jquery?
$iframe = $('<iframe id="iframe" src="' + $(this).attr('rel') + '" name="iframe">');
$area = $("#ajax-area");
$area.empty().append($iframe);
Где:
$(this)
ссылка щелкнул.attr('rel')
хранит src для iframe, а rel создается PHP (без ввода пользователем здесь).- И
$iframe
имеет форму для загрузки.
Меня беспокоит то, что в этом случае src iframe является переменной. Я боюсь, что злонамеренный пользователь каким-то образом сумеет отредактировать атрибут rel и открыть iframe, который он или она хочет. Это возможно?
EDIT
Спасибо за ваши ценные ответы.
PHP использует следующее для заполнения отн:
App::basePath . '/some/path/to/my/folder';
Где basePath
является константой, разработчик выбирает.
Я перепроектирую свой jquery более подходящим образом, как вы, ребята, предложили.
И очевидный сценарий, когда '$ (это) .attr («отн»)' содержит символы, имеют смысл в HTML и требуют ускорения. Вы должны действительно использовать 'attr()' для заполнения атрибута 'src'. –