1
如何使用URL https://domain/
IFRAME访问具有URL http://domain/
(HTTPS调用HTTP)的父框架的DOM?Javascript HTTPS框架访问父HTTP帧
这两个框架将合作。这两个框架的域是相同的,只是协议不同。不允许设置document.domain
,因为这将允许来自其他不可信帧的XSS攻击。
作为访问DOM的替代方法,发送消息(包含单个整数)就足够了。请注意,postMessage
API仅适用于IE8 +。我需要IE6 +。
作为HTTP的外框是给我们的,但它是我们信任的。 iframe是HTTPS是因为用户可以发布敏感数据。我会研究easyXDM,谢谢。 – usr 2012-08-03 18:50:10
不过,如果您使用的是开放式无线或类似网络,攻击者可以将数据注入http页面(请参阅sslstrip)并降低网站的安全性。 – Erlend 2012-08-04 18:50:51
好点,但iframe的服务器确保它只通过HTTPS被调用。 – usr 2012-08-04 18:54:06