次のコードは安全ですか?
$iframe = $('<iframe id="iframe" src="' + $(this).attr('rel') + '" name="iframe">');
$area = $("#ajax-area");
$area.empty().append($iframe);
どこ:
$(this)
クリックされたリンクです。attr('rel')
iframe の src を保持し、rel は PHP によって作成されます (ここではユーザー入力はありません)。- アップロード
$iframe
するフォームを保持します。
私の懸念は、この場合 iframe の src が変数であるため、悪意のあるユーザーが何らかの方法で「rel」属性を編集して、必要な iframe を開くことを恐れていることです。これは可能ですか?
編集
貴重なご回答ありがとうございます。
php は、次を使用して rel を設定します。
App::basePath . '/some/path/to/my/folder';
basePath
は、開発者が選択する定数です。
皆さんが提案したように、jquery をより適切な方法で再設計します。