使用 iframe sandbox 时的注意点
一、allow-scripts 允许执行js
二、allow-same-origin 同源,允许父子页面共享cookie, 互相操作.
三、当被嵌入的文档与主页面同源时,强烈建议不要同时使用 allow-scripts 和allow-same-origin ,否则的话将允许嵌入的文档通过代码删除 sandbox 属性。虽然你可以这么做,但是这样的话其安全性还不如不用sandbox。
四、使用src=”data:……”, srcdoc=”….” 直接设置iframe 内容时的区别:
1. src 的data:text/html是 Data URI, 长度不能超过32,768
2. 同时使用时srcdoc优先级更高
3. 当前 IE 不支持 srcdoc [浏览器支持](http://caniuse.com/#feat=iframe-srcdoc)
4. srcdoc更安全
五、postMessage可用于父子窗口安全地传递消息
参考资料:
https://developer.mozilla.org/zh-CN/docs/Web/HTML/Element/iframe
http://stackoverflow.com/questions/19739001/which-is-the-difference-between-srcdoc-and-src-datatext-html-in-an
浏览器同源政策及其规避方法
https://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/
使用 iframe sandbox 时的注意点相关推荐
- jquery3和layui冲突导,致使用layui.layer.full弹出全屏iframe窗口时高度152px问题
项目中使用的jquery版本是jquery-3.2.1,在使用layui弹出全屏iframe窗口时,iframe窗口顶部总是出现一个152px高的滚动窗口无法实现真正全屏,代码如下: <!DOC ...
- 解决IE浏览器打印iframe页面时字体等样式缩小的问题
解决IE浏览器打印iframe页面时字体等样式缩小的问题 目录 1.问题描述 2.解决方案 3.代码 1.问题描述 问题主要集中于打印 iframe, 前端调用浏览器打印功能,在谷歌,火狐浏览器上预览 ...
- iframe sandbox属性
背景 使用他人提供的公共服务时,发现ajax异步请求发不成功,请教他人后,原来是使用了iframe的sandbox属性的原因.因为iframe经常嵌入第三方服务,如果不加以限制的话,会存在很多安全问题 ...
- 同域下iframe操作时,js访问document出现拒绝访问的问题原因
在同一个域下,有页面A.html和B.html,A.html页面中包含一个iframe,其src属性指向B.html. 问题: A.html页面中的javascript脚本可以获取到ifram ...
- html5 sandbox,HTML iframe sandbox 属性 | 菜鸟教程
HTML sandbox 属性 实例 带有额外限制的 : sandbox=""> 尝试一下 » (更多实例见页面底部) 浏览器支持 Internet Explorer 10. ...
- dede后台添加优酷等视频iframe链接时被替换成了图片
添加文章时 添加优酷视频 :<iframe height=498 width=510 src='http://player.youku.com/embed/XNDAzNTAzODE4OA==' ...
- html怎样同框架页面内跳转,使用iframe框架时,实现子页面内跳转到整个页面,而不是在子页面内跳转...
首先先来描述一下我所遇到的问题,我在一个首页的index.jsp页面中用到了iframe框架,见下图 在iframe中引入jsp页面的路径,是几个iframe框架组合成的一个完整的页面,但是他们的存在 ...
- iframe 滚动条不显示_BUG赏金 | 当我发现iFrame注入时的利用
iFrame注入是一种非常常见的跨站脚本攻击.它包括已插入到网页或文章内容的一个或多个iframe代码,或一般下载一个可执行程序或进行其他动作使网站访客的电脑妥协.在最好的情况下,谷歌可能会标注该网站 ...
- 火狐浏览器页面里有iframe框架时,当开发者后台修改了css样式,火狐浏览器不能及时响应问题
当前端程序员修改了引入css文件样式后,而且这个页面是用iframe引用的,结果发现在火狐浏览器里不重载修改过的css样式,想及时查看效果,结果看不了.本人经过几天摸索,终于找到一个可以重载的非主流方 ...
最新文章
- LeetCode简单题之有多少小于当前数字的数字
- 《Android应用开发攻略》——1.3 从命令行创建 “Hello, World”应用程序
- LinkedBlockingQueue和ArrayBlockingQueue
- qt开发环境 - c++之无名名字空间,名字空间嵌套邻近原则(内藏外),名字空间别名
- static成员函数
- 使用jQuery Uploadify在ASP.NET 上传附件
- PHPExcel导出Excel方法总结——ThinkPHP5
- android 极光IM集成及使用
- MongoDB复制集同步慢问题分析
- Jmeter使用csv文件读取测试数据
- 虚拟网卡服务器端软件,不再挤房间!自己动手架设自己的“浩方”对战平台
- Markdown开发VSCode插件推荐
- 爬虫--破解验证码的几种方式
- 华为ME909 4G LTE模块在树莓派+Ubuntu Mate平台的联网演示
- 淘宝API接口系列,获取购买到的商品订单列表,卖出的商品订单列表,订单详情,订单物流,买家信息,收货地址列表,买家token
- 报告称苹果应用商店逾千款应用存在漏洞
- Robust semantic segmentation by dense fusion network on blurred vhr remote sensing images
- 《红楼梦》金陵十二钗判词及赏析
- 教你如何识别DWG文件版本
- 软件安全理论测试部分
热门文章
- POD方法读书笔记(二)
- A股上市公司营收预测
- 20年后的iphoneXXXX手机长这样
- ORACLE SQL 实现IRR的计算
- 2023完整影视小程序前后端源码+无需授权/暗黑UI
- Android 首选网络模式默认值的修改方法
- 安居客住房系统-基于Python-Django前后端分离开发(一)——初始化项目及ORM关系映射
- [kubernetes]-k8s通过设置yaml中env的值动态调整nginx端口
- 珠宝销售系统毕业设计
- 上升沿判断语句_自己明明持有着主升浪的股票却拿不住?一文教你判断主升浪的信号...