这个jquery代码安全吗？

Question

以下代码是否安全？

$iframe = $('<iframe id="iframe" src="' + $(this).attr('rel') + '" name="iframe">');
$area = $("#ajax-area");
$area.empty().append($iframe);

其中：

1. $(this)是单击的链接。
2. attr('rel')保存iframe的src，而rel是由PHP创建的(这里没有用户输入)。
3. 而$iframe持有一份可上传的表单。

我担心的是，由于在本例中iframe的src是一个变量，所以我担心恶意用户会以某种方式编辑“rel”属性并打开他或她想要的iframe。这个是可能的吗？

编辑

谢谢你有价值的回答。

php使用以下方法填充rel：

App::basePath . '/some/path/to/my/folder';

其中basePath是开发人员选择的常量。

我将按照你们的建议，以更恰当的方式重新设计jquery。

Answer 1

理论上，如果rel属性是基于服务器常量的，那么除了无法控制的安全问题(如MiTM )之外，不应该出现其他安全问题。

但是，对于这些事情，您应该始终保持安全；jQuery允许将标记的属性作为第二个参数传递给构造函数，从而提供了这种安全性：

$iframe = $('<iframe />', {
    id: "iframe",
    src=: $(this).attr('rel'),
    name: "iframe"
});

Answer 2

除非攻击者能够访问链接的rel属性，否则它应该是安全的。

然而，如果不详细查看代码运行的环境，很难说一段代码是否安全。可以从另一个按钮访问“安全”代码段，立即使您认为rel属性被控制的假设无效。

但是，只要您注意不要在页面中的任何地方呈现用户代码，您就应该是安全的。这意味着您必须转义每个用户提供的输入，特别是如果输入是在您的站点中的其他地方输出的(例如，对一篇新闻文章的评论)。