2012-10-20 72 views
0

瀏覽器拒絕了嗎?可能嗎?對來自不同域的iframe內容執行JavaScript

如果是這樣,是否允許它發生的瀏覽器錯誤?我注意到了這一點:

http://html5sec.org

你怎麼能關閉這些漏洞,並防止他們在您的網站的工作?我可以檢測到有人試圖從另一個域執行JavaScript嗎?

謝謝。

+0

如果您例如在您的網站中包含谷歌廣告或fb小部件或任何東西,這意味着您相信他......對您沒有包含此代碼,並且如果您嘗試停止代碼,則不會顯示廣告例如,那是哪一點? – memosdp

+0

我不是說包括其他JS,我的意思是他們可以創建自己的網站,並將其加載到iframe中,然後使用JS進行操作。 – alt

+0

...我找到了一個解決方案,但我不知道是否適用於所有瀏覽器 https://developer.mozilla.org/en-US/docs/The_X-FRAME-OPTIONS_response_header 但如果你在他們的廣告展示網站更好地將其添加爲合同中的術語或條件...我沒有找到關於此的任何其他解決方案 – memosdp

回答

0

JavaScript由瀏覽器執行,而不是服務器執行。如果用戶想要,他們可以在沒有iframe的情況下在網站上執行javascript。 (在地址欄中輸入javascript:alert('hello');)。

你不能阻止它,因爲它是在客戶端執行的,而不是在你的站點本身。無論用戶使用javascript如何設計網站,都不會影響網站的完整性。使用服務器端身份驗證和會話,清理數據庫輸入,並且不要在客戶端執行任何基於安全的操作。

+0

但通過javascript onClick事件等按鈕操作,可以通過javascript調用它們。可能嗎?有人可以用我的網站加載一個iframe並調用一個onClick事件嗎?無論我做什麼,這都是安全風險。 – alt

+0

是的,這是微不足道的。 'document.getElementById('myButton')。click()' –

+0

如果它在iframe中,則不能這樣做。 – alt

相關問題