У нас есть проект, который генерирует фрагмент кода, который можно использовать в других проектах. Цель кода - прочитать два параметра из строки запроса и назначить их для & quot; src & quot; атрибут iframe.

Например, страница по URLHTTP: //oursite/Page.aspx а = 1 & амп; б = 2 будет иметь JavaScript для чтения & quot; a & quot; и "b" параметры. Затем JavaScript установит & quot; src & quot; атрибут iframe на основе этих параметров. Например, & lt; iframe src = http: //someothersite/Page.aspx? A = 1 & b = 2 & quot; / & GT; & Quot;

В настоящее время мы делаем это с помощью серверного кода, который использует библиотеку Microsoft Anti-Cross-Scripting для проверки параметров. Однако появилось новое требование о том, что нам нужно использовать JavaScript и что он не может использовать какие-либо сторонние инструменты JavaScript (такие как jQuery или Prototype).

Один из известных мне способов заключается в замене любых экземпляров «& lt;», одинарной кавычки и двойной кавычки из параметров перед их использованием, но мне это не кажется достаточно безопасным.

Одним из параметров всегда является «P» следуют 9 целых чисел. Другой параметр - это всегда 15 буквенно-цифровых символов. (Спасибо, Лиам, за то, что предложил мне это прояснить)

У кого-нибудь есть предложения для нас?

Большое спасибо за уделенное время.