我有一个页面包含框架内同一域上的另一个页面。是否有可能防止框架页面中的脚本可以操纵首页DOM(例如添加元素或脚本)?防止子级iframe脚本的父级DOM操作
0
A
回答
0
你可以与摆脱“危险”的功能,但节省匿名引用他们像实验..
(function(){
var hiddenrefs = {};
hiddenrefs.dGetElementById = document.getElementById;
document.getElementById = null;
})();
等。然而,这将是一件非常繁琐的工作,而且无论如何都会失败。如果这是试图让用户在iframe内的受控环境中运行Javascript,那么这是一种误导性的安全形式。 iframe可以发布top.location = "http://www.myevilpage.com"
,在这种情况下,无论如何它都会为你游戏。 (即使有不同的域名也是如此,iframe仍然可以重定向用户和各种讨厌的东西,即使严格来说也不能访问父级的DOM。)让用户运行JS代码永远不会安全,没有过滤恶意代码的源代码,甚至过滤它也相当不安全,因为它很容易绕过过滤。许多人已经尝试过,许多人失败了。我建议不要让用户运行Javascript,永远。
0
最好的解决方案可能是在iframe上使用HTML5沙箱属性,该属性默认情况下会显式禁用对父DOM的脚本和同源访问。
相关问题
- 1. iframe访问父级DOM?
- 2. MVCDonutCaching - 父级未环形缓存时的子级操作问题
- 3. 如何使用JavaScript获取父级iframe的父级iframe?
- 4. 父级iframe网址
- 5. 父DOM操作由孩子?
- 6. 访问DOM树父级的第二级()
- 7. Angular.js针对dom操作的ng级别
- 8. jQuery的DOM操作高级选择
- 9. 防止继承父级环境的子进程
- 10. 防止CSS继承WordPress中包含的PHP脚本中的父级CSS
- 11. CSP子级iframe从其父级继承了哪些内容?
- 12. 在iFrame中使用iFrame本地脚本需要“顶级”还是“父”?
- 13. 从iFrame重定向父级
- 14. 原子升级脚本
- 15. 防止级联的TypoScript?
- 16. Flexbox子级忽略父级的填充
- 17. nexus中的父级和子级库
- 18. Fancybox(jQuery) - 将信息从父级传递给iframe和iframe回到父级
- 19. 如何防止IFRAME的重定向顶级窗口
- 20. 将父级子结构转换为父级子代
- 21. 无法通过postMessage()调用父级子级iframe中的函数 - cross origin
- 22. 如何防止Firefox升级
- 23. 防止升级功能
- 24. jQuery父级和子级divs激活不同的动作
- 25. jquery加载到iframe的父级
- 26. SQL - 查找顶级父级和底级子级值
- 27. 如何查找父级及其子级
- 28. 防止子进程(HandbrakeCLI)导致父脚本退出
- 29. 子datagridview父级文本框winform
- 30. 如何防止div在隐藏时触发父级的mousemove