除了基于Java的Caja之外,是否有一个简单的JavaScript实现用于沙盒化iframe?
1个回答
1
从不同的域加载iframe,同源策略将会沙盒化任何脚本。
- Quentin
1
1Iframes 是一种隔离机制,而不是安全机制。来自 http://code.google.com/p/google-caja/:
今天,一些网站使用 iframe 嵌入第三方代码。这种方法不能防止各种攻击:重定向到钓鱼页面,这些页面可以假装成嵌入应用程序的登录页面;阻止浏览器工作,直到用户下载恶意软件;窃取历史信息...以便进行更多的目标钓鱼攻击...一旦[网站]有了[用户数据]...它无法阻止 iframe 应用程序将该数据发送到其他地方。 - Mike Samuel
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接