Usando wp_localize_script no arquivo de modelo – é seguro?

Eu tenho o seguinte código dentro de um dos meus arquivos de modelo (NOT functions.php)

$datatoBePassed = array( 'pageTitle' => get_the_title() ); wp_localize_script( 'main-js', 'php_vars', $datatoBePassed ); 

Estou me perguntando se existem problemas de segurança inerentes ao fazer algo assim fora das funções.php. Meu objective aqui é muito simples: apenas estou passando o título da página para o JavaScript, de modo que pode destacar o texto correspondente em vermelho dentro de uma lista existente. Eu sei que provavelmente há melhores maneiras de conseguir isso, mas esta é a melhor solução no momento. Se isso é inseguro, eu posso apenas ecoar para um display:none div e ler isso.

Solutions Collecting From Web of "Usando wp_localize_script no arquivo de modelo – é seguro?"

O problema de segurança relacionado com input / saída pode ser ordenadamente dividido em dois baldes:

  • alguém consegue ler informações que não devem;
  • Alguém consegue escrever informações que não é suposto.

Localize não é capaz de escrever nada no site, então você está seguro nessa frente.

No lado da leitura, não é muito diferente de apenas fazer eco das coisas na fonte da página (o que está fazendo essencialmente). A única coisa que você precisa ter cuidado é que os dados fornecidos não podem ser manipulados pelo usuário / input.

Por exemplo, o título da página deve ser precisamente para a página em processamento e não deve haver furos que lhe permitam retornar o título de uma página diferente (que pode ser privada e tal).