对于我的rails应用程序,我使用的数据属性相当广泛,因为它很容易,并且网站从未被期望完成或发布,只是我个人乐趣所做的一些事情。原始HTML的一个简单的例子是数据属性和脚本注入
<span class="player-name" data-id="4" >Example Player</span>
然后我可以访问CoffeeScript中的“身份证”以下列方式:
id = $('.player-name').data('id')
我在想,如果这个利用率数据的属性可能潜在通过编辑开发人员控制台中的数据属性的人员使网站易受攻击。此外,如果有更好的方法来访问jQuery中的数据,我将不胜感激,如果有人能指出我在正确的方向。谢谢!
来自客户端的任何数据都应该在服务器端进行验证。考虑到该警告,就安全性而言,通过数据属性提供的数据与传递给服务器的用户提供的值没有什么不同。 – MarsAtomic