6
निम्नलिखित कोड सुरक्षित है?क्या यह jquery कोड सुरक्षित है?
$iframe = $('<iframe id="iframe" src="' + $(this).attr('rel') + '" name="iframe">');
$area = $("#ajax-area");
$area.empty().append($iframe);
कहाँ:
$(this)कड़ी है क्लिक किया।attr('rel')आईफ़्रेम के लिए src रखता है और रिले PHP द्वारा बनाया गया है (यहां कोई उपयोगकर्ता इनपुट नहीं है)।- और
$iframeअपलोड करने के लिए एक फॉर्म है।
मेरी चिंता यह है कि इस मामले में iframe का स्रोत एक चर है, मुझे डर है कि एक दुर्भावनापूर्ण उपयोगकर्ता किसी भी तरह से 'रिले' विशेषता को संपादित करने और एक आईफ्रेम खोलने का प्रबंधन करता है जिसे वह चाहता है। क्या यह संभव है?
संपादित
अपने मूल्यवान उत्तरों के लिए धन्यवाद।
php rel पॉप्युलेट करने के लिए निम्नलिखित का उपयोग करता है:
App::basePath . '/some/path/to/my/folder';
कहाँ basePath एक निरंतर है कि डेवलपर चुनता है।
जैसा कि आपने सुझाव दिया था, मैं अपने jquery को एक और उचित तरीके से फिर से डिजाइन कर दूंगा।
और स्पष्ट परिदृश्य है जब '$ (this) .attr ('rel')' वर्ण हैं कि एचटीएमएल में एक अर्थ है और भागने की जरूरत है। आपको 'src' विशेषता को पॉप्युलेट करने के लिए वास्तव में' attr() 'का उपयोग करना चाहिए। –