У нас есть проект, который генерирует фрагмент кода, который можно использовать в других проектах. Цель кода - прочитать два параметра из строки запроса и присвоить ихЦСИ» атрибут iframe.

Например, страница по URLHTTP: //oursite/Page.aspx а = 1 &б = 2 будет иметь JavaScript для чтения "а" и "б" параметры. Затем JavaScript установитЦСИ» атрибут iframe на основе этих параметров. Например, "<iframe src = "HTTP: //someothersite/Page.aspx а = 1 &b = 2 "/>"

Мы'в настоящее время делает это с серверным кодом, который использует MicrosoftБиблиотека анти-кросс-скриптинга для проверки параметров. Однако появилось новое требование о том, что нам нужно использовать JavaScript и что он можетt использовать любые сторонние инструменты JavaScript (такие как jQuery или Prototype).

Один из известных мне способов - заменить любые символы «<»., одинарная кавычка и двойная кавычка из параметров перед их использованием, но это неМне кажется, это достаточно безопасно.

Одним из параметров всегда является «P» следуют 9 целых чисел. Другой параметр - это всегда 15 буквенно-цифровых символов. (Спасибо, Лиам, за то, что предложил мне это прояснить).

У кого-нибудь есть предложения для нас?

Большое спасибо за уделенное время.