禁用框架/ iframe内的Cookie

禁用框架/iframe内的Cookie是指在使用框架（frame）或者内嵌式框架（iframe）加载网页时，阻止浏览器在这些框架内设置和发送Cookie的行为。这是因为Cookie在浏览器中存储了用户的个人信息和网站的设置，可能会导致隐私泄露和安全问题。

为了禁用框架/iframe内的Cookie，可以使用以下方法：

设置框架/iframe的"sandbox"属性。将"sandbox"属性设置为"allow-same-origin"或"allow-scripts"，可以防止框架内的脚本访问和设置Cookie。例如：

使用HTTP标头"Content-Security-Policy"设置"frame-ancestors"指令。这可以防止框架/iframe加载不受信任的网站。例如，在服务器端设置以下HTTP标头：

Content-Security-Policy: frame-ancestors 'self' https://example.com;

这将允许只有来自example.com的网站才能嵌套加载当前网站。

使用JavaScript代理来拦截和修改框架/iframe内的Cookie设置。这可以通过在主页面中注入一个JavaScript脚本来实现，该脚本可以拦截和修改框架内的Cookie设置。例如：

document.addEventListener('DOMContentLoaded', function() {
  document.cookie = 'sameSite=Strict';
});

需要注意的是，这些方法可能会导致框架/iframe内的某些功能无法正常工作，因此在实施这些方法时需要进行充分的测试和验证。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

如何拼得EasyCVR内视频通道的iframe地址？

由于EasyCVR的集成性比较高，很多客户都会采用EasyCVR集成到他们自己的平台内，而EasyCVR没有批量请求视频流的接口，导致客户如果想调用视频流的话，只能一个通道一个通道的去获取视频流地址以及进行保活...这种方式在接入量很大的情况下，客户可能一次性要发几十个请求，这就可能会导致请求堆积，平台反应就会很慢，所以遇到这样的情况建议使用iframe地址直接写到前端里面的方式完成操作，比系统不断请求来的快而且方便...但是有些用户不太会获取EasyCVR的iframe地址，从页面中去获取确实是一种方法，但是这样获取的效率并不高，下面我们就介绍下EasyCVR如何去拼 iframe地址。...首先我们看到iframe地址都是一样的格式，所以一开始的头部都是easycvr的ip地址，如下：不一样的是players后面的3个数字：这三个数字分别代表deviceid，channelid以及主子码流...另外在使用的时候有两点需要注意，第一点就是上面的token，这个在新版本里面是可以不用传递的，这个token和登录token不一样，不能把登录的token带过来，如果对iframe地址没有特别的安全要求

7052 0

JavaScript 技术篇-js获取iframe内的元素方法。

var a = document.querySelector("iframe") 获取到iframe。...var b = a.contentWindow.document 获取到iframe里的document。 b.getElementById("...") 就能获取到iframe里元素的id了。

18.7K5 1

iframe框架取值兼容iefirefoxchrome的写法

为啥世上会有这么多不同的浏览器？...每次遇到js/css的浏览器兼容性问题，总是要发出这样的感叹，真希望这些个浏览器公司全部倒下，然后只留下一家(显然这是一个不可能实现的美好愿望)，言归正传，看代码吧: iframe框架内页：框架内页父级类： iframe name="frame1" id="frame1" src="frm.html" frameborder="1"... height="30">iframe> iframe1中文本框的值: <input type="button" name="Submit" value="getValue

1.6K5 0

基于 iframe 的微前端框架 —— 擎天

iframe 内外系统的通信、数据同步等需求，主应用的 cookie 要透传到根域名都不同的子应用中实现免登效果。慢。每次子应用进入都是一次浏览器上下文重建、资源重新加载的过程。...图片五、擎天框架实现擎天框架突破了 iframe UI不同步、URL不同步、数据不共享以及加载慢等问题，并将iframe作为页面容器存在，在实现硬隔离的同时做到了子应用瞬间切换，解决了微前端框架一直以来的通病...图片当用户进入页面后，父框架拿到浏览器url，并获取到pathname，从而知道需要首先加载那个子应用。并且直接创建iframe，并直接挂到对应的dom节点中，父应用和子应用异步加载。...图片5.3 子应用iframe瞬间切换解决问题：子应用切换卡顿用户进行多个子应用切换时，擎天框架监听浏览器url地址，如pathname从/New/*变成/Web/*，则将/New/*对应的子应用iframe...用户可视范围内只能看一个应用，切换时仅仅是将New应用隐藏不可见，Web应用页面可见。

1.6K9 0

Chrome 宣布推迟对三方 Cookie 的禁用

之前曾经写过一篇文章，里面介绍了禁用三方 Cookie 后的一些问题和挑战：当浏览器全面禁用三方 Cookie 近日， Google 宣布推迟在 Chrome 浏览器中阻止第三方Cookie 的计划。...Cookie 被用于跟踪用户的互联网活动并允许数字发布商定位广告。他们已经被包括苹果、微软和Mozilla 在内的许多 Google 的竞争对手所屏蔽。...Google 的 Cookie 禁令原定于 2022 年实施，现在已推迟到 2023 年。...根据 GlobalStats 的数据，Chrome在全球拥有 65% 的市场份额。...Google 的新隐私提案被称为隐私沙盒，其想法是引入一种叫做“联合学习”或“Floc”的东西。启用 Floc 的浏览器将收集有关浏览习惯的信息，并将用户分配到具有相似浏览历史的组或“群”。

6525 0

保护隐私:清除cookie、禁用cookie确保安全【分享给身边的朋友吧】

ytkah深有体会，某天搜索一个词，然后你就能在一些网站上看到这个词的相关广告，神奇吧？这就是你的浏览器cookie泄露了，或者更严重地说是你的隐私泄露了，可怕吧！...搜索引擎通过获取cookie，得知你的搜索记录、访问记录，进而展示相关广告给发布网站。网上搜索一下cookie查看器，cookie提取器，一搜一大堆。...有些第三方公司会利用cookie软件专门收集cookie、获取邮箱等联系方式，在利益的驱使下把这些信息卖给电商网站或更危险的网站，后果可想而知。这还算好的了，去年爆出的NSA事件是最严重的后果。...那么我们应该如何保护我们的隐私呢？如何设置cookie？如何清除cookie？如何禁用cookie呢？　　ytkah习惯用firefox浏览网页，不止扩展丰富、便于设计，还因为ff安全系数比较高。...火狐浏览器有一个隐私模式，不会保存你的浏览记录和cookie，在右上角可以看到，也可以通过快捷键Ctrl+Shift+P进入。如果你嫌麻烦，可以设置firefox默认为隐私模式。

9434 0

如何使用 JavaScript 检测用户是否启用三方 Cookie ？

今天继续来聊 Cookie ，Chrome 已经在 1.4 号开启了三方 Cookie 的 1% 禁用灰度： Chrome 三方 Cookie 禁用已正式开始！...所以，如果大家的网站最近没有时间进行这些改造，大家可以在运行时来提示用户手动关闭三方 Cookie 的禁用策略。...是否启用，但是对三方 Cookie 的检查就无能为力了，三方 Cookie 禁用的情况下还是会返回 true。...首先，我们在 iFrame 内添加一个立即执行函数。在这个函数中，我们添加一个消息事件监听器，这个监听器会在从父级应用程序调用时触发。...检查消息是否由 iFrame 发送，事件现在将保存来自 iFrame 内的 checkCookieEnable 函数结果的响应。

4961 0

fencedframe 可以替代 iframe 吗？

这个可能有点难理解，且听我慢慢道来～三方 Cookie 对智能广告的影响老读者都知道，在之前的文章中，我多次介绍过三方 Cookie 禁用后的影响以及一些解决方案，比如下面几篇文章：当浏览器全面禁用三方...Cookie 详解 Cookie 新增的 SameParty 属性详解 Cookie 的分区存储（CHIPS）三方 Cookie 替代品 — 隐私沙盒的最新进展因为三方 Cookie 禁用的影响太大了...这种技术主要还是通过使用第三方 Cookie 跨站点共享信息的跟踪技术来实现的。当三方 Cookie 完全禁用，这种技术会受到很大影响。...，建议使用 Fenced frames 作为更私有的嵌入框架。...，相信它未来将是禁用三方 Cookie 后智能广告推荐领域的主要解决方案。

2.3K1 0

Layui-admin-iframe通过页面链接直接在iframe内打开一个新的页面，实现单页面的效果

前言：　　使用Layui-admin做后台管理框架有很长的一段时间了，但是一直没有对框架内iframe菜单栏切换跳转做深入的了解。...今天有一个这样的需求就是通过获取超链接中传递过来的跳转地址和对应的tabs的title名称参数，在layui-admin-iframe中自动打开一个新的tabs页面，不需要点击左边的菜单栏，实现一个单页面的效果...代码实现：请求的超链接如下所示： https://xxxx.xxx.com?...，获取超链接中传递过来的跳转页面地址和tabs title名称在iframe中打开: //layui预先加载 layui.use('index', function(){ var transferUrl...我们可以在导航栏中设置左侧菜单导航栏默认展开的属性，如下所示： layui-nav-itemed的属性默认导航全部展开 <li class="layui-nav-item layui-nav-itemed

4.9K1 0

如何取消Chrome浏览器跨域请求限制、跨域名携带Cookie限制、跨域名操作iframe限制？

取消跨域限制、跨域名携带Cookie限制、跨域名操作iframe限制之后的Chrome可以更加方便Web前端开发，同时也可以作为一个完美的爬虫框架。...跨域携带cookie指定是在A域名请求B域名的接口，请求的同时携带B域名的cookie；正常访问网站时，如果允许跨域请求B域名接口能够正常访问，但是不会携带B域名的cookie。...2.2 91版本及以上的Chrome浏览器： chrome://flags/中相关的设置在91版本后已被Chorme移除，94版本一下可以通过如下方式解除限制（94以上的版本通过命令行禁用设置SameSite...跨域名操作iframe 1.什么是跨域名操作iframe限制？...假设我们在A域名的网页上有一个指向B域名的iframe，我们访问A域名的网页时，B域名的iframe正常显示，但是当我们通过js去操作B域名的iframe时，将会被浏览器阻止（同源域名不会被阻止）；相应的通过

7.5K3 0

MediatR-进程内的消息通信框架

MediatR是一款进程内的消息订阅、发布框架，提供了Send方法用于发布到单个处理程序、Publish方法发布到多个处理程序，使用起来非常方便。...使用MediatR 要在项目中使用MediatR，首先要添加引用：nuget install MediatR 在使用MediatR的时候，需要设置一个容器来实例化所有的Handler，因此我们需要与依赖注入框架结合使用...，MediatR支持目前主流的依赖注入框架，例如Autofac等，也可以直接使用 .NET Core 的依赖注入框架。...如果可以的话，倒是可以做一个无处理程序的消息的监听，也是挺好玩的。异步对于MediatR来说，无论是发送IRequest类型消息，还是发布INotification类型消息，都是异步的。...这里需要特别留意，即使你使用的是同步的消息处理程序，对于消息发布来说，都是异步的，与你的处理程序是同步或异步无关。参考文档 MediatR官方文档

1.7K2 0

谁能帮我们顺利过渡到没有三方 Cookie 的未来？

例如，当用户访问站点 A 时，来自站点 C 的 iframe 内容可以在用户的浏览器上设置一个 Cookie 来响应跨站点的请求。...目前业界仍然没有比较成熟的方案来应对三方 Cookie 被禁用后的各种影响。...具体三方 Cookie 禁用后的影响可以看这篇文章：当浏览器全面禁用三方 Cookie 去年 Cookie 新增的 SameParty 属性可以在一定场景下替代三方 Cookie，它可以让在同一个运营主体下不同域名的...还是上面的例子，我们在站点 A 中通过 iframe 嵌入了一个站点 C，正常情况下如果三方 Cookie 被禁用后，C 是无法在 A 站点访问到它的 Cookie 的。...这就在保护了用户隐私的情况下完美的解决了 iframe 页面三方 Cookie 的问题，完美～下面是启用了 CHIPS 后 Cookie 的分区键的变化：试用 CHIPS 将在 Chrome 100

7882 0

Cookie 的访问方式可能要有大变化了！

目前看来，随着 Cookie 第一方集、Cookie 独立分区两项能力的稳定推出，全面禁用三方 Cookie 的那一天似乎不远了，这两项改动确实能够解决一大部分正常使用三方 Cookie 的业务场景，但是...三方 iframe Cookie 第一个场景是我们需要和嵌入的三方 iframe 共享状态。...这个嵌入式的聊天服务可能会依赖 Cookie 来保存用户的交互历史记录。因为我们嵌入的 iframe 域名和当前的网站是夸站的，所以 iframe 种下的 Cookie 就属于三方 Cookie。...，这是因为用户的个人信息存储在了一个公共的登录服务的 Cookie 上，禁用了三方 Cookie，那登录信息也就无法共享了。...举个例子，假如我们在站点 A 中通过 iframe 嵌入了一个站点 C，正常情况下如果三方 Cookie 被禁用后，C 是无法在 A 站点访问到它的 Cookie 的。

6912 0

点击劫持漏洞的学习及利用之自己制作页面过程

2011年出现的 Cookie jacking 攻击就是拖放攻击的代表，此攻击的成因是由于本地 Cookie 可以用iframe>标签嵌入，进而就可以利用拖放劫持来盗取用户的 Cookie。...当设置目标 iframe 的opacity 属性小于或等于0.1，用户就无法看到含恶意代码的目标网页。双iframe隐藏技术使用内联框架和外联框架。...内联框架的主要功能是载入目标网页，并将目标网页定位到特定按钮或者链接。外联框架的主要功能是筛选，只显示内联框架中特定的按钮。...看到图片中的第二步，在选中标签的时候，上面提供了标签的大小(上面的黑框框)，也就是：width: 68.8px;、height: 25.6px;标签内的字体大小需要根据具体字数来决定，我这里三个字，也就相应的设置为...不过有一个条件，就是受害者的浏览器没有禁用 JavaScript 脚本。如果受害者的浏览器禁用了 JavaScript 脚本，那么将无法正常运行。

2.3K1 0

30秒攻破任意密码保护的PC：深入了解5美元黑客神器PoisonTap

以下为PoisonTap具体操作实现：通过 USB或Thunderbolt模拟成新加入的以太网连接设备；劫持目标系统所有网络连接流量（即使是低优先级或未知的网络连接）窃取存储在浏览器内相关Alexa...可以绕过或突破以下安全保护措施：锁屏密码路由表优先级设置和网络接口服务顺序同源保护策略 Cookie的HttpOnly安全设置 Cookie的SameSite安全属性双因素或多因素认证 DNS...Cookie窃取只要目标系统运行有浏览器，打开网页将会通过AJAX或动态脚本框架（script/iframes）产生各种请求，而由于系统网络流量被完全劫持， 1 PoisonTap将会监听到所有HTTP...，每个iframe中又包括Alexa排名前100万内的不同网站通过web后门进行远程访问 1当PoisonTap生成上千个iframe之后，将会迫使浏览器加载每个iframe，但这些iframe不仅仅是空白页面...桌面客户端安全 1 有必要可以用粘合剂封住USB和Thunderbolt端口 2 每次离开电脑时关闭浏览器 3 禁用USB和Thunderbolt端口 4 经常清理浏览器的缓存数据 5 在不使用电脑时

1.9K10 1

看我如何利用漏洞窃取麦当劳网站注册用户密码

通过更改搜索参数q为{{$id}}之后，发现返回值对应AngularJS范围内的对应ID数字9： Link used: https://www.mcdonalds.com/us/en-us/search-results.html...q={{$id}} AngularJS是一个流行的JavaScript框架，通过这个框架可以把表达式放在花括号中嵌入到页面中。例如，表达式1+2={{1+2}}将会得到1+2=3。...尝试对发现的被存储Cookie值penc进行解密，竟然成功了！而且，经分析发现，Cookie值penc的存储期限是大大的一年！LOL!...另外，以下的源码分析显示，麦当劳网站使用了Javascript的CryptoJS加密库进行信息加密，加密方式为3DES，其中加密参数key和iv都为通用，这意味着只需要获取到cookie值就能对密码解密...只有当charAt(0) 不为空时，getCookie才有返回值：最后，我写了一段调用麦当劳网站首页框架进行cookie窃取的脚本，为了避免脚本因AngularJS沙箱被绕过而被反复执行，所以，我用window.xssIsExecuted

2K6 0

如何知道iframe文件下载download完成

如何知道iframe文件下载download完成 author: @TiffanysBear 问题当使用iframe作为文件下载的载体时，如何知道文件已经下载完毕。...现有的iframe的onLoad方法具有兼容性问题，在chrome、IE下无法监听onLoad事件监听文件下载完毕，因为onLoad事件本身也是对iframe中的html结构的加载进度监听。...var url = 'http://www.example.com/file.zip'; var iframe = document.createElement('iframe'); iframe.src...，在IE下面就是不行解决思路一：利用cookie 后端将文件下载进度放在cookie中，通过轮询cookie的方式，对文件下载进度进行获取，判断文件是否已经下载完毕。...缺陷： 1、需要后端配合 2、如果客户端禁用了cookie，则该方案完全失效；在无痕浏览模式下，读取cookie，甚至代码报错。

8.7K4 0

界面劫持之点击劫持

2011年出现的 Cookiejacking 攻击就是拖放攻击的代表，此攻击的成因是由于本地 Cookie 可以用iframe>标签嵌入，进而就可以利用拖放劫持来盗取用户的 Cookie。...目前主要的网页隐藏技术有两种：CSS 隐藏技术和双 iframe 隐藏技术。（双 iframe 隐藏技术使用内联框架和外联框架。内联框架的主要功能是载入目标网页，并将目标网页定位到特定按钮或者链接。...外联框架的主要功能是筛选，只显示内联框架中特定的按钮。）3.3点击操作劫持技术在成功隐藏目标网页后，攻击者下一个目标是欺骗用户点击特定的按钮，最简单实用的方法是使用社会工程学。...DENY 表示任何网页都不能使用 iframe 载入该网页，SAMEORIGIN 表示符合同源策略的网页可以使用 iframe 载入该网页。...需要指出的情况是，如果用户浏览器禁用 JavaScript 脚本，那么 FrameBusting 代码也无法正常运行。

7512 0

有关Web 安全学习的片段记录（不定时更新）

注意如果此时弹 cookie 的话弹出的是 iframe 内 domain 域的 cookie，因为浏览器在请求第三方站点时也会把相关cookie发送出去（没有P3P 属性的 persistent cookie...反斜杠 \ 在script域内会起转义作用，而在html 标签内就是表示的字符含义，从下面alert()出来的字符可以得知。...有人问，如果客户端的浏览器禁用了 Cookie 怎么办？...a 路径的cookie（iframe 加载的是同域页面，故 b路径的js 可以访问 iframe document 的属性），如下所示： ?...沙盒框架（Sandboxed frame）是对常规iframe>表现行为的扩展，它能让顶级页面对其嵌入的子页面及这些子页面的子资源设置一些额外的限制通过设置iframe>的参数实现限制。

1.6K0 0

CSRF攻击与防御

-- form 元素的 target属性可以与 iframe 的name属性关联，关联后 form表单提交跳转的页面会在 iframe 中展示 --> iframe id="iframe" name...当用户访问 B 网站时，form 表单向 A 网站提交数据，这时会带上用户在 A 站点的 Session Cookie，这个 Cookie 是 A 网站用于验证用户身份的，结果 B 网站发出的请求也带有用户身份标识...除此之外，生成的 Token 还需要放在 Cookie 或者用户的 Session 中。...如果一个用户打开几个相同的页面同时操作，当某个页面消耗掉 Token 后，其他页面的表单内保存的还是被消耗掉的那个 Token，因此其他页面的表单再次提交时，会出现 Token 错误。...切换使用 JavaScript 禁用 iframe 嵌套存在一些缺陷，在 HTML5 中 iframe 新增了一个 sandbox 属性，它可以对呈现在 iframe 中的内容启用一些额外的限制条件。

1.9K4 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云