1. 首页
  2. 问答
  3. Javascript HTTPS框架访问父HTTP帧

Javascript HTTPS框架访问父HTTP帧

2012-08-03 75 views
1

如何使用URL https://domain/ IFRAME访问具有URL http://domain/(HTTPS调用HTTP)的父框架的DOM?Javascript HTTPS框架访问父HTTP帧

这两个框架将合作。这两个框架的域是相同的,只是协议不同。不允许设置document.domain,因为这将允许来自其他不可信帧的XSS攻击。

作为访问DOM的替代方法,发送消息(包含单个整数)就足够了。请注意,postMessage API仅适用于IE8 +。我需要IE6 +

来源

2012-08-03 usr

回答

1

easyXDM是一个选项。它支持带有支持的浏览器的postMessage,并回退到旧版浏览器的其他机制。其中一些机制有点冒失,但他们工作。

但是,为什么你想在一个不安全的页面上有一个安全的iframe?

来源

2012-08-03 17:39:23 Erlend

+0

作为HTTP的外框是给我们的,但它是我们信任的。 iframe是HTTPS是因为用户可以发布敏感数据。我会研究easyXDM,谢谢。 – usr 2012-08-03 18:50:10

+0

不过,如果您使用的是开放式无线或类似网络,攻击者可以将数据注入http页面(请参阅sslstrip)并降低网站的安全性。 – Erlend 2012-08-04 18:50:51

+0

好点,但iframe的服务器确保它只通过HTTPS被调用。 – usr 2012-08-04 18:54:06

相关问题

 相关问题