完全隔离来自同一个域的iframe中的javascript

Question

假设我们有一个窗口和一个带有一些javascript的iframe。 iframe源代码直接在iframe的“srcdoc”属性中定义。

是否有可能以某种方式强制浏览器行为像iframe从另一个域加载？

我的意思是我不希望在iframe中的javascript能够通过“window.parent”或类似的东西访问主窗口，因为iframe内容不受信任。但问题是它存储在同一个域中，我甚至想要使用相同的请求来加载主窗口和iframe内容（使用该“srcdoc”属性）。

那么有可能吗？

谢谢！

Answer 1

你可以在前面加上字符串：

"<script> parent = top = null; </script>" 

到srcdoc。这应防止srcdoc表单中的其他代码通过window.parent和window.top访问父级。

我不确定是否有其他方法可以访问iframe的父级。