我希望能夠將腳本注入到由我自己的服務器提供的頁面內的一個iframed頁面(託管在第三方服務器上)(以可視化wysiwyg
應用程序的更改) 。保護第三方iframe上的腳本注入和執行
由於我在'target'頁面上有一個小的stub腳本,我可以猜想只是有一個方法允許任何腳本執行任何傳遞給它的東西。顯然這聽起來並不安全,因爲它會爲一些整齊的XSS打開一個攻擊向量。我爲保護它的想法之一是將某種令牌與我想要運行的腳本一起傳遞,其中存根客戶端代碼將與服務器進行檢查,然後才執行腳本。這有意義嗎?任何人都可以向我指出任何先例嗎?
非常感謝
有沒有其他方法可以解決這個問題? iframe解決方案聽起來......有風險。 –
它做了一些 - 但因爲我需要在現場展示更改,我能想到的唯一的其他解決方案是通過我的服務器代理頁面。這不會很酷(url重寫,bw等的加載) – malangi
你打算如何在「目標」頁面中找到這個建議的腳本?瀏覽器不會讓你觸及它。 – Pointy