将 HTML 源代码注入 iframe 以避免跨站点脚本问题
Inject HTML source into an iframe to avoid cross site scripting issue
我正在尝试将iframe的来源指定为空白HTML页面。由于源位于不同的域上,因此我收到"权限被拒绝"错误。有没有办法将 HTML 源代码注入 iframe 以避免跨站点问题?
将
iframe连接到另一个域通常不是问题,您可以通过设置x-frame-options的http标头来防止其他人在iframe中查看您的网站。(而且我认为你没有费心检查 http 响应标头......
如果您只需要一个空白页面,请打开 iframe 到您控制的页面。 像空白一样.html位于您的文档根目录中。
正如Rook所说,指向iframe跨站点通常没有问题。 事实上,iframe是绕过某种程度的跨站点通信的已知方法之一。 此外,这种机制还用于广告中,以动态地向各种网站上的用户提供内容。
无论如何,实现所需目标的另一种方法是创建代理服务。 在本地服务器上,您可以编写一个脚本,该脚本为页面发出 GET 请求,然后将 HTML 作为其自己的响应吐出。 这样,iframe 的源就可以指向本地服务器。
相关文章:
- MVC3站点脚本和CSS未加载
- API用于跨站点脚本
- 跨站点脚本过滤器阻止了我使用python-cgi脚本将javascript变量保存到mysqldb的尝试
- 修复跨站点脚本问题
- Java 中的跨站点脚本漏洞
- 移动菜单需要 Jquery 2.0.1,但其他站点脚本需要旧版本
- Iframe 调整大小和跨站点脚本
- Apache Cordova(Phonegap):是跨站点脚本所需的jsonp
- 跨站点脚本问题
- 强化:基于 DOM 的跨站点脚本
- 跨站点脚本
- 将 HTML 源代码注入 iframe 以避免跨站点脚本问题
- 如何使用javascript防止跨站点脚本攻击
- 解决跨站点脚本资源共享问题
- 疯狂需要启用跨站点脚本
- 是否可以在Mobile safari中允许跨站点脚本(XSS)
- 如何保护 Location.href 免受 JavaScript 中跨站点脚本的影响
- 使用Iframe进行跨站点脚本编写
- 跨站点脚本(XSS)的可能性
- 跨框架跨站点脚本-创建网页重载程序/看门狗
