निम्नलिखित कोड सुरक्षित है?क्या यह jquery कोड सुरक्षित है?
$iframe = $('<iframe id="iframe" src="' + $(this).attr('rel') + '" name="iframe">');
$area = $("#ajax-area");
$area.empty().append($iframe);
कहाँ:
$(this)
कड़ी है क्लिक किया।attr('rel')
आईफ़्रेम के लिए src रखता है और रिले PHP द्वारा बनाया गया है (यहां कोई उपयोगकर्ता इनपुट नहीं है)।- और
$iframe
अपलोड करने के लिए एक फॉर्म है।
मेरी चिंता यह है कि इस मामले में iframe का स्रोत एक चर है, मुझे डर है कि एक दुर्भावनापूर्ण उपयोगकर्ता किसी भी तरह से 'रिले' विशेषता को संपादित करने और एक आईफ्रेम खोलने का प्रबंधन करता है जिसे वह चाहता है। क्या यह संभव है?
संपादित
अपने मूल्यवान उत्तरों के लिए धन्यवाद।
php rel पॉप्युलेट करने के लिए निम्नलिखित का उपयोग करता है:
App::basePath . '/some/path/to/my/folder';
कहाँ basePath
एक निरंतर है कि डेवलपर चुनता है।
जैसा कि आपने सुझाव दिया था, मैं अपने jquery को एक और उचित तरीके से फिर से डिजाइन कर दूंगा।
और स्पष्ट परिदृश्य है जब '$ (this) .attr ('rel')' वर्ण हैं कि एचटीएमएल में एक अर्थ है और भागने की जरूरत है। आपको 'src' विशेषता को पॉप्युलेट करने के लिए वास्तव में' attr() 'का उपयोग करना चाहिए। –