Portal oparty na javascript Opcje

[qooxdoo]

Hej

Czy portal oparty na javascript jest bezpieczny? Mam na myśli:

[HTML] pobierz, plaintext 
function page(url, title){
var allowed = Array("omnie.html", "main.html", "komentarze.php", "flvplayer.html");
if(in_array(url, allowed)==1){
document.getElementById("cnt").src = "pages/"+url;
document.title=title;
}
else
alert("Dostęp zabroniony");
}
[HTML] pobierz, plaintext 

Polega to na tym, że klikając w menu nie ładuje się cała strona od nowa, tylko element iframe ("cnt") zmienia swój atrybut src (na plik podany w funkcji)

W praktyce wygląda to tak:

[HTML] pobierz, plaintext 
<a href="javascript:page('omnie.html', 'Inni o mnie')">Inni o mnie</a>
[HTML] pobierz, plaintext 

Jedynym zabezpieczeniem jest tablica, w której znajdują się pliki, które przglądarka może ładować do iframe.

I tu moje pytanie, czy to oby bezpieczne? Bo przecierz można wpiszać w pasku adresu java script:page('../secret.txt', 'a'); niby wyskoczy błąd, ale to się dzieje po stronie przeglądarki. Hackerem nie jestem, więc wydaje mi się, że nie da sie tego obejść. Proszę o rady.

PS. mógłbym zrobić to w php, ale wtedy strona by się przeładowywała za każdym kliknięciem linka w menu. A ja musze temu zapobiec (dość obszerna statyczna część strony)

[eai]

Wystarczy wyłączyć JS, zresztą do FF jest dużo wtyczek które pomagają omijać takiego typu rzeczy... dlaczego?(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Bo to sie dzieje po stronie przeglądarki, więc nie jest bezpieczne. Zawsze zabezpieczaj sie po stronie serwera!