使用 iframe sandbox 时的注意点
一、allow-scripts 允许执行js
二、allow-same-origin 同源,允许父子页面共享cookie, 互相操作.
三、当被嵌入的文档与主页面同源时,强烈建议不要同时使用 allow-scripts 和allow-same-origin ,否则的话将允许嵌入的文档通过代码删除 sandbox 属性。虽然你可以这么做,但是这样的话其安全性还不如不用sandbox。
四、使用src=”data:……”, srcdoc=”….” 直接设置iframe 内容时的区别:
1. src 的data:text/html是 Data URI, 长度不能超过32,768
2. 同时使用时srcdoc优先级更高
3. 当前 IE 不支持 srcdoc [浏览器支持](http://caniuse.com/#feat=iframe-srcdoc)
4. srcdoc更安全
五、postMessage可用于父子窗口安全地传递消息
参考资料:
https://developer.mozilla.org/zh-CN/docs/Web/HTML/Element/iframe
http://stackoverflow.com/questions/19739001/which-is-the-difference-between-srcdoc-and-src-datatext-html-in-an
浏览器同源政策及其规避方法
https://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/
使用 iframe sandbox 时的注意点相关推荐
- jquery3和layui冲突导,致使用layui.layer.full弹出全屏iframe窗口时高度152px问题
项目中使用的jquery版本是jquery-3.2.1,在使用layui弹出全屏iframe窗口时,iframe窗口顶部总是出现一个152px高的滚动窗口无法实现真正全屏,代码如下: <!DOC ...
- 解决IE浏览器打印iframe页面时字体等样式缩小的问题
解决IE浏览器打印iframe页面时字体等样式缩小的问题 目录 1.问题描述 2.解决方案 3.代码 1.问题描述 问题主要集中于打印 iframe, 前端调用浏览器打印功能,在谷歌,火狐浏览器上预览 ...
- iframe sandbox属性
背景 使用他人提供的公共服务时,发现ajax异步请求发不成功,请教他人后,原来是使用了iframe的sandbox属性的原因.因为iframe经常嵌入第三方服务,如果不加以限制的话,会存在很多安全问题 ...
- 同域下iframe操作时,js访问document出现拒绝访问的问题原因
在同一个域下,有页面A.html和B.html,A.html页面中包含一个iframe,其src属性指向B.html. 问题: A.html页面中的javascript脚本可以获取到ifram ...
- html5 sandbox,HTML iframe sandbox 属性 | 菜鸟教程
HTML sandbox 属性 实例 带有额外限制的 : sandbox=""> 尝试一下 » (更多实例见页面底部) 浏览器支持 Internet Explorer 10. ...
- dede后台添加优酷等视频iframe链接时被替换成了图片
添加文章时 添加优酷视频 :<iframe height=498 width=510 src='http://player.youku.com/embed/XNDAzNTAzODE4OA==' ...
- html怎样同框架页面内跳转,使用iframe框架时,实现子页面内跳转到整个页面,而不是在子页面内跳转...
首先先来描述一下我所遇到的问题,我在一个首页的index.jsp页面中用到了iframe框架,见下图 在iframe中引入jsp页面的路径,是几个iframe框架组合成的一个完整的页面,但是他们的存在 ...
- iframe 滚动条不显示_BUG赏金 | 当我发现iFrame注入时的利用
iFrame注入是一种非常常见的跨站脚本攻击.它包括已插入到网页或文章内容的一个或多个iframe代码,或一般下载一个可执行程序或进行其他动作使网站访客的电脑妥协.在最好的情况下,谷歌可能会标注该网站 ...
- 火狐浏览器页面里有iframe框架时,当开发者后台修改了css样式,火狐浏览器不能及时响应问题
当前端程序员修改了引入css文件样式后,而且这个页面是用iframe引用的,结果发现在火狐浏览器里不重载修改过的css样式,想及时查看效果,结果看不了.本人经过几天摸索,终于找到一个可以重载的非主流方 ...
最新文章
- 阿里巴巴为什么不建议直接使用Async注解?
- Docker4Dev #7 新瓶装老酒 – 使用 Windows Container运行ASP.NET MVC 2 + SQLExpress 应用
- phpeditor编写php_在php中使用CKEDITOR在线编辑器
- 【计算机系统设计】重点 · 学习笔记(0)
- (JAVA)File类2
- 作者:熊贇(1980-),女,博士,复旦大学计算机科学技术学院教授。
- jquery easy ui 1.3.4 事件与方法的使用(3)
- Docker简介以及Docker历史
- background:url(./images.png) no-repeat 0 center的用法
- 6.1-6.4 压缩打包介绍,压缩工具gzip,bzip2, xz
- Javase MINA框架
- java代码格式化的快捷键设置_如何使用VS中的快捷键快速格式化代码使好看,整齐...
- 8年Android开发教你如何写简历,详细的Android学习指南
- 迅为4418/6818开发板 Yocto 系统烧写
- CSDN图片加载不出来,edge浏览器能够解决
- MacOS / Vmware Fusion无法连接虚拟设备sata0:1,因为主机上没有相应设备
- php页面静态化,ob缓存方法
- Python | OpenCV画图显示为一个全黑画布的情况
- bzoj4137[FJOI2015]火星商店问题
- 中国移动H1S-3光猫首发破解路由器桥接教程