1. 首頁
  2. 問答
  3. Javascript HTTPS框架訪問父HTTP幀

Javascript HTTPS框架訪問父HTTP幀

2012-08-03 86 views
1

如何使用URL https://domain/ IFRAME訪問具有URL http://domain/(HTTPS調用HTTP)的父框架的DOM?Javascript HTTPS框架訪問父HTTP幀

這兩個框架將合作。這兩個框架的域是相同的,只是協議不同。不允許設置document.domain,因爲這將允許來自其他不可信幀的XSS攻擊。

作爲訪問DOM的替代方法,發送消息(包含單個整數)就足夠了。請注意,postMessage API僅適用於IE8 +。我需要IE6 +

來源

2012-08-03 usr

回答

1

easyXDM是一個選項。它支持帶有支持的瀏覽器的postMessage,並回退到舊版瀏覽器的其他機制。其中一些機制有點冒失,但他們工作。

但是,爲什麼你想在一個不安全的頁面上有一個安全的iframe?

來源

2012-08-03 17:39:23 Erlend

+0

作爲HTTP的外框是給我們的,但它是我們信任的。 iframe是HTTPS是因爲用戶可以發佈敏感數據。我會研究easyXDM,謝謝。 – usr 2012-08-03 18:50:10

+0

不過,如果您使用的是開放式無線或類似網絡,攻擊者可以將數據注入http頁面(請參閱sslstrip)並降低網站的安全性。 – Erlend 2012-08-04 18:50:51

+0

好點,但iframe的服務器確保它只通過HTTPS被調用。 – usr 2012-08-04 18:54:06

相關問題

 相關問題