[英]Cookie Security of Pops Up Window
我去过一些css / html / js讨论板,其中提供了一个文本框来输入html和“运行它”! 按钮以在新的弹出窗口中运行html。
我也想做一个,在jQuery中很简单:
function try_show_result() {
var code = $("#try-input").val();
if (code !== "") {
var newwin = window.open('','','');
newwin.opener = null; // 防æ¢ä»£ç 修改主页
newwin.document.write(code);
newwin.document.close();
}
}
但是后来我发现一个安全问题:弹出窗口具有运行任意JavaScript的所有功能。 这样,当另一个经过身份验证的用户在页面上运行给定的代码段时,它就可以窃取cookie或仅通过ajax帖子访问仅针对指定用户的某些url。
有避免这种情况的简便方法吗?
更新 :我在打开窗口之前添加了newwin.document.cookie =“”,不确定是否更好。
有避免这种情况的简便方法吗?
没有
这就是Facebook外出并编写自己的JavaScript [FBJS]版本的原因。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.