我们有一个项目,可以生成代码片段,用于其他各种项目。代码的目的是从查询字符串中读取两个参数,并将它们分配给iframe的“src”属性。
例如,http://oursite/Page.aspx?a=1&b=2 URL上的页面将包含JavaScript来读取"a"和"b"参数。然后,JavaScript会根据这些参数设置iframe的“src”属性。例如,“<iframe src="http://someothersite/Page.aspx?a=1&b=2" />”。
我们目前正在使用服务器端代码执行此操作,该代码使用Microsoft的Anti Cross-Scripting库来检查参数。但是,新的要求指出我们需要使用JavaScript,并且不能使用任何第三方JavaScript工具(如jQuery或Prototype)。
我知道的一种方法是在使用参数之前替换任何"<"、单引号和双引号的实例,但我认为这不够安全。
例如,http://oursite/Page.aspx?a=1&b=2 URL上的页面将包含JavaScript来读取"a"和"b"参数。然后,JavaScript会根据这些参数设置iframe的“src”属性。例如,“<iframe src="http://someothersite/Page.aspx?a=1&b=2" />”。
我们目前正在使用服务器端代码执行此操作,该代码使用Microsoft的Anti Cross-Scripting库来检查参数。但是,新的要求指出我们需要使用JavaScript,并且不能使用任何第三方JavaScript工具(如jQuery或Prototype)。
我知道的一种方法是在使用参数之前替换任何"<"、单引号和双引号的实例,但我认为这不够安全。
其中一个参数始终是以字母"P"开头,后跟9个整数。另一个参数始终是15个字母数字字符。(感谢Liam建议我澄清这一点)。
有人对我们有任何建议吗?
非常感谢您的时间。