0
我有一個頁面包含框架內同一域上的另一個頁面。是否有可能防止框架頁面中的腳本可以操縱首頁DOM(例如添加元素或腳本)?防止子級iframe腳本的父級DOM操作
A
回答
0
你可以與擺脫「危險」的功能,但節省匿名引用他們像實驗..
(function(){
var hiddenrefs = {};
hiddenrefs.dGetElementById = document.getElementById;
document.getElementById = null;
})();
等。然而,這將是一件非常繁瑣的工作,而且無論如何都會失敗。如果這是試圖讓用戶在iframe內的受控環境中運行Javascript,那麼這是一種誤導性的安全形式。 iframe可以發佈top.location = "http://www.myevilpage.com",在這種情況下,無論如何它都會爲你遊戲。 (即使有不同的域名也是如此,iframe仍然可以重定向用戶和各種討厭的東西,即使嚴格來說也不能訪問父級的DOM。)讓用戶運行JS代碼永遠不會安全,沒有過濾惡意代碼的源代碼,甚至過濾它也相當不安全,因爲它很容易繞過過濾。許多人已經嘗試過,許多人失敗了。我建議不要讓用戶運行Javascript,永遠。
0
最好的解決方案可能是在iframe上使用HTML5沙箱屬性,該屬性默認情況下會顯式禁用對父DOM的腳本和同源訪問。
相關問題
- 1. 防止iFrame獲取父級CSS
- 2. iframe訪問父級DOM?
- 3. 防止父級控制綁定子級中繼器
- 4. 子級可以使用父級的asignment操作符重載嗎?
- 5. MVCDonutCaching - 父級未環形緩存時的子級操作問題
- 6. 如何使用JavaScript獲取父級iframe的父級iframe?
- 7. 父級iframe網址
- 8. 父DOM操作由孩子?
- 9. 訪問DOM樹父級的第二級()
- 10. 在iframe的父級更改div文本?
- 11. 我該如何防止SKSpriteNode的子級與父級一起旋轉?
- 12. Bash腳本 - 將子腳本stderr重定向到父級的stdout
- 13. jQuery的DOM操作高級選擇
- 14. Angular.js針對dom操作的ng級別
- 15. 防止繼承父級環境的子進程
- 16. 防止CSS繼承WordPress中包含的PHP腳本中的父級CSS
- 17. CSP子級iframe從其父級繼承了哪些內容?
- 18. 在iFrame中使用iFrame本地腳本需要「頂級」還是「父」?
- 19. jQuery防止觸發子事件時父級事件觸發
- 20. 從iFrame運行父級Javascript
- 21. 從iFrame重定向父級
- 22. 如何在iframe中禁用腳本來控制父級?
- 23. 防止Greasemonkey腳本將div插入iframe
- 24. HTML Javascript - 防止從dom樹的子節點執行腳本
- 25. 原子升級腳本
- 26. 如何在添加文本到父級時防止子div移動?
- 27. 子級的子域父類
- 28. 防止級聯的TypoScript?
- 29. JPA:防止級聯操作[保存,刪除...]
- 30. Flexbox子級忽略父級的填充