Soweit ich weiss, kann file_get_contents() auch auf http:// adressen zugreiffen. Demnach hast du natprlich XSS gefahr. Aber solange du den rückgabewert der funktion nicht gerade ausführst oder in einen DB-Query einbaust, sollte das für deinen Server sicher sein.
Nur, damit ich das richtig verstehe: Du willst, dass der Benutzer eine Adresse http://www.example.org in deiner Seite aufruft?
Falls es das ist, sieh dir an, wie ich es gelöst habe:
http://dodo.bplaced.net/links/
Falls nicht, kläre mich bitte auf.
Wieso vermeiden? O.o
Frames sind nicht die Wurzel alles Bösen.
Frames sind GENAU dafür da! Das hier ist die einzige Existenzberechtigung für Frames.
Websites laden und in deinen eigenen Quellcode einfügen geht stark in Zueigen machen, fremden Eiegntums. Ich würde es nicht wollen, dass mein Quellcode in fremden Seiten dargestellt wird. Frame ja, aber reinladen, nein. Da bestehen zu viele Veränderungsmöglichkeiten.
Ein weiterer Pluspunkt für Frames in diesem Zusammenhang: Ein wichtiges Gütekriterium einer jeden Anwendung ist die Einfachheit und Flexibilität des Codes - und das ist mit Frames jedenfalls gegeben.
Doch, leider gibts da extrem viele XSS-Möglichkeiten.
z.B.
<!-- http://www.meinspace.bla/böse.php -->
<a href="#" onmouseover="stielAlleCookies();sendeSiePerAjaxZurück();">klick mich!</a>
Und kabuum, ich hab alle cookies vom user und kann mich evtl. einloggen. Und durch das entfernen von onmouseover/onclick-events beeinträchtigst du möglicherweise die funktionalität. Sicherheitslücke gegen den Benutzer.
Nachtrag: Frames beseitigen alle Sicherheitslücken, weil die eingebundene Seite nicht auf Seiten mit fremder Domain zugreifen kann.
Okay, überzeugt von Frames, danke 