次のコードは安全ですか?このjqueryコードは安全ですか?
$iframe = $('<iframe id="iframe" src="' + $(this).attr('rel') + '" name="iframe">');
$area = $("#ajax-area");
$area.empty().append($iframe);
:
$(this)
リンクがクリックされました。attr('rel')
はiframeのsrcを保持し、relはPHPによって作成されます(ここにはユーザー入力はありません)。$iframe
にはアップロードするフォームがあります。
この場合、iframeのsrcは変数であるため、悪意のあるユーザーが何らかの形で「rel」属性を編集して、必要なiframeを開くことが懸念されます。これは可能ですか?あなたの貴重な答えを
EDIT
感謝。
basePath
は、開発者が選択したことに一定である
App::basePath . '/some/path/to/my/folder';
:
PHPはRELを移入するには、次のように使用しています。
あなたの提案どおりに、私のjqueryをより適切な方法で再設計します。
と明らかシナリオがありますHTMLで意味を持ち、エスケープする必要があります。実際に 'src'属性を設定するには' attr() 'を使うべきです。 –