[英]ensuring that iframed content cannot access parent via javascript
雖然我知道如果域,協議等不匹配,xss規則應適用於iframed內容,但我想知道是否有任何方法可以進一步確保iframed內容無法通過javascript訪問父級。
例如,即使域端口和協議DO匹配。
基本思想是這樣的:
1)domain.com包含多個包含第三方廣告的iframe
2)包含橫幅代碼的iframe托管在ads.domain.com上
3)在大多數情況下,第三方廣告是通過ads.domain.com托管的框架中的類似內容加載的:
<script type="text/javascript" src="http://www.3rd-party-ad-provider.....
我們是否可以采取進一步的措施來完成以下方案:
第三方<具有訪問權限> ads.domain.com <沒有訪問權限> domain.com(父級持有廣告iframe)
即使只在最新的瀏覽器上兼容的步驟也可以使用。 有什么可以改善的。 我們看到相當多的js錯誤通過泄漏,我假設至少其中部分原因是錯誤的廣告代碼錯誤地處理了父級(最高)文檔主體。
謝謝!
雖然我知道如果域,協議等不匹配,xss規則應適用於iframed內容,但我想知道是否有任何方法可以進一步確保iframed內容無法通過javascript訪問父級。
跨瀏覽器沒有副作用,沒有副作用。
第三方<具有訪問權限> ads.domain.com <沒有訪問權限> domain.com(父級持有廣告iframe)
相同的源策略可以做到這一點。
我們看到相當多的js錯誤通過泄漏,我假設至少其中部分原因是錯誤的廣告代碼錯誤地處理了父級(最高)文檔主體。
如果JS在一個框架中出錯,那么它仍然會出錯。 它不應觸及頂層框架,但瀏覽器將報告錯誤。
由於您正在處理第三方內容,因此無法catch
錯誤。
您可以對廣告客戶采取強硬態度,拒絕沒有通過質量控制的廣告。 您必須權衡拒絕廣告的成本和改善訪問者體驗的好處。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.