javascript - iframe 安全 postmessage 劫持
问题描述
如果来自 URL X 的父级将 iframe 加载到 URL Y.. 父级可以使用Window/postMessage与子框架对话。
但是,如果父级还加载了第 3 方 js 片段 - 例如谷歌分析......如何阻止第 3 方将 javascript 注入父级然后定位上述 iframe 以通过 postmessage API 发送内容?
解决方案
绝对没有。
如果网页加载了第三方 JS,那么它就赋予该 JS 对页面执行环境的完全访问权限,包括发送标记为源自该页面的跨域消息的能力。
不要加载不受信任的第三方 JS。
推荐阅读
- pointers - 我这里有一个指针问题,如果你知道请帮助我
- javascript - 为什么我不能让我的 jquery 在单击按钮时淡入?
- java - Java 和 XON XOFF 串行打印
- java - 错误:缺少表“hibernate_sequence”的 FROM 子句条目
- python - Julia 的 PyCall 包生成分段错误
- java - 无法使用 Azure 服务总线发送消息
- python - 错误:由于 OSError 无法安装软件包:[WinError 5]
- php - 使用 PhpOffice\PhpSpreadsheet 保存大文件导致 504 网关超时
- google-oauth - 如何使用 Google 登录发送定期受保护的请求?
- sql - 在 hive 的 select 语句中包含子查询结果