javascript - 黑客是否可以从 iframe 外部检查保存到“window”的 javascript 对象?
问题描述
我确信这一定是以前在这里问过的,但不太确定要搜索什么,所以我没有看到任何结果。
我有一个为游戏加载 HTML 画布的 iFrame。这个游戏还有一个config对象,其中保存了一些数据(点等)。配置保存到window. 假设游戏在https://example.com运行
现在,当我到达那个 URL 并玩它时,我当然可以通过config在 JS 控制台上键入来访问私人游戏数据。
但是当我在另一个页面中运行该 iFrame 时(比如在https://the-game.comconfig上),当我在控制台上键入内容时,我当然无法访问任何内容。
我的问题是这是否安全。我的服务器端逻辑阻止 iframe 从https://the-game.com以外的任何地方加载,因此理论上黑客永远无法检查该config对象,但我想知道这里是否存在任何安全问题我应该意识到 ?
任何指针将不胜感激!
谢谢
解决方案
可以从控制台访问您在 iframe 中的网站
您可以通过单击“框架图标”(右上角)更改控制台的目标框架
推荐阅读
- oracle - 创建一个定时作业,其他人不运行时运行
- python - 如何从我不小心更改的 keras.layers 恢复 core.py 文件
- android - 在复选框上使用 putExtra,但无法转到下一个活动
- excel - 根据键合并列excel
- java - 附加时 URL 有效#
- java - 从 getRuntime().exec 获取信息帽子 java 应用程序挂起
- java - 在 Maven 中搜索
- swift - Xcode 在 1 个工作区下有 2 个项目
- jquery - 无法启用 jQuery UI datepicker 的选定日期
- c# - C# foreach 性能低下