黑客有可能从iframe外部检查保存到‘window`中的javascript对象吗？

黑客有可能从iframe外部检查保存到'window'中的javascript对象。在浏览器环境中，由于同源策略的限制，iframe与父窗口之间的通信是受限的。同源策略要求iframe与父窗口具有相同的协议、域名和端口，才能进行通信。

因此，如果黑客在iframe外部的环境中，无法直接访问或检查保存在iframe中的javascript对象。这是因为iframe中的javascript对象只能在同源的父窗口中访问。

然而，需要注意的是，如果存在安全漏洞或跨站脚本攻击（XSS）等问题，黑客可能通过其他手段获取到iframe中的javascript对象。因此，在开发过程中，需要注意安全性，并采取相应的防护措施，如输入验证、输出编码、使用安全的API等。

关于iframe和同源策略的更多信息，可以参考腾讯云的文档：

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

每天10个前端小知识【Day 4】

下面从 DOM 同源策略和 XMLHttpRequest 同源策略来举例说明：如果没有 DOM 同源策略，也就是说不同域的 iframe 之间可以相互访问，那么黑客可以这样进行攻击：做一个假网站，里面用...因此，有了浏览器同源策略，我们才能更安全的上网。 3. xml和json有什么区别？ 1、JSON是JavaScript Object Notation；XML是可扩展标记语言。...load 事件 —— 外部资源已加载完成，样式已被应用，图片大小也已知了。 beforeunload 事件 —— 用户正在离开：我们可以检查用户是否保存了更改，并询问他是否真的要离开。...Null是对象吗？为什么？ null不是对象。虽然 typeof null 会输出 object，但是这只是 JS 存在的一个悠久 Bug。...Javascript本地存储的方式有哪些，有什么区别，及有哪些应用场景？

1181 0

Web 安全总结(面试必备良药)

同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM 对象读和写的操作。同源策略限制了不同源的站点读取当前站点的 Cookie、IndexDB、LocalStorage 等数据。...SQL注入拼接 SQL 时未仔细过滤，黑客可提交畸形数据改变语义。比如查某个文章，提交了这样的数据id=-1 or 1=1等。...点击劫持诱使用户点击看似无害的按钮（实则点击了透明 iframe 中的按钮）....例如，在 A 页面中，通过一个带有 target="_blank" 的 a 标签打开了一个新的页面 B，那么在 B 页面里，window.opener 的值为 A 页面的 window 对象。...比如你正在浏览购物网站，从当前网页打开了某个外部链接，在打开的外部页面，可以通过 window.opener.location 改写来源站点的地址。

9732 0

检查原生 JavaScript 函数是否被覆盖

有一些检测方法很接近，但你不能完全相信它们。 JavaScript原生函数在JavaScript中，原生函数指的是其源代码已经被编译进原生机器码的函数。...从iframe中抓取干净函数如果你需要调用一个"干净"函数，而不是检查一个原生函数是否被猴子补丁过，另一个潜在的选择是从一个同源的iframe中抓取它。.../ 新的iframe将创建自己的"干净"window对象， // 所以你可以从那里抓取你感兴趣的函数。...虽然有点不切实际，但第三方可以对iframe的API进行猴子补丁。因此，你仍然不能100%地信任生成的iframe的window对象。...// 在这种情况下，我们只是持有一个原始fetchAPI的引用，并将其隐藏在一个闭包后面。 // 如果你事先不知道你要检查什么API，你可能需要存储多个window对象的引用。

5782 0

前端安全编码规范

指黑客通过“HTML注入”篡改了网页，插入了恶意的脚本（主要是JavaScript脚本），从而在用户浏览网页时，控制用户浏览器的一种攻击。...例如：访问某黑客写下的一篇含有恶意JavaScript代码的博客文章，黑客把恶意脚本保存到服务端。...比如："某用户在某网站（已被攻击）上操作黑客伪造的一个登录框，当用户在登录框中输入了用户名（这里可能是身份证号等）和密码之后，将其信息上传至黑客的服务器上（该用户的信息就已经从该网站泄漏）" 4.获取用户真实的...点击劫持防御方式 1.X-Frame-Options HTTP响应头是用来给浏览器指示允许一个页面能否在`、、`中展现的标记 #### 有三个可选的值...跨窗口传递信息 postMessage 允许每一个 window（包括当前窗口、弹出窗口、iframes等）对象往其他的窗口发送文本消息，从而实现跨窗口的消息传递。

1.3K1 1

web跨域解决方案

什么是跨域　在JavaScript中，有一个很重要的安全性限制，被称为“Same-Origin Policy”（同源策略）。...我们举例说明: 　　比如一个黑客,他利用iframe把真正的银行登录页面嵌到他的页面上,当你使用真实的用户名和密码登录时,如果没有同源限制,他的页面就可以通过javascript读取到你的表单中输入的内容...，就是在A页面中，要等iframe标签完成加载B页面之后，再取iframe对象的contentDocument,否则如果B页面没有被iframe完全加载，在A页面中通过contentDocument属性就取不到...B页面中的jQuery对象。 ...对象实例，该对象有三个属性： data ：消息 origin：消息的来源地址 source：发送消息窗口的window对象引用使用方法（案例）： http://test.com/index.html

2.7K10 0

用框架的你，可能早已忽略了这些事件API

load 事件 —— 外部资源已加载完成，样式已被应用，图片大小也已知了。 beforeunload 事件 —— 用户正在离开：我们可以检查用户是否保存了更改，并询问他是否真的要离开。...DOMContentLoaded 和样式外部样式表不会影响 DOM，因此 DOMContentLoaded 不会等待它们。但这里有一个陷阱。...speed=1&cache=0"> window.onunload 当访问者离开页面时，window 对象上的 unload 事件就会被触发。...自然地，当用户要离开的时候，我们希望通过 unload 事件将数据保存到我们的服务器上。...我们不仅能发送字符串，还能发送表单以及其他格式的数据，在 Fetch 一章有详细讲解，但通常它是一个字符串化的对象。数据大小限制在 64kb。

1.8K1 0

作为面试官，为什么我推荐微前端作为前端面试的亮点？

你能给出一些具体的解决方案吗？在使用 qiankun 时，处理老项目的资源加载问题可以有多种方案，具体的选择取决于项目的具体情况。...每个页面都去修改，成本很大也很麻烦，但是使用 iframe 嵌入这些老项目就比较方便。你能解释一下 qiankun 的 start 函数的作用和参数吗？...你能解释一下 qiankun 如何实现 keep-alive 的需求吗？在 qiankun 中，实现 keep-alive 的需求有一定的挑战性。...子项目间的组件共享（弱依赖）：通过主项目提供的全局变量，子项目挂载到全局对象上。子项目中的共享组件可以使用异步组件来实现，在加载组件前先检查全局对象中是否存在，存在则复用，否则加载组件。...在使用webpack构建的子项目中，要实现复用公共依赖，需要配置webpack的externals，将公共依赖指定为外部依赖，不打包进子项目的代码中。

8781 0

前端安全知识

xss 主要分为三类： DOM xss : DOM即文本对象模型，DOM通常代表在html、xhtml和xml中的对象，使用DOM可以允许程序和脚本动态的访问和更新文档的内容、结构和样式。...存储型 xss 案例在项目开发中，评论是个常见的功能，如果直接把评论的内容保存到数据库，那么显示的时候就可能被攻击。...大概有两种方式：攻击者使用一个透明 iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的 iframe 页面；攻击者使用一张图片覆盖在网页，遮挡网页原有的位置含义...一般步骤黑客创建一个网页利用 iframe 包含目标网站；隐藏目标网站，使用户无法无法察觉到目标网站存在；构造网页，诱变用户点击特点按钮用户在不知情的情况下点击按钮，触发执行恶意网页的命令...有三个值： DENY：表示页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN：表示该页面可以在相同域名页面的 frame 中展示。

5992 0

浏览器原理学习笔记07—浏览器安全

DOM 同源策略限制了不同源的 JavaScript 脚本对当前 DOM 对象的读写操作。例如打开两个同源页面，控制台中执行下面代码，第一个页面 body 被隐藏。...let pdom = opener.document // opener 对象指向第一个页面的 window 对象 pdom.body.style.display = "none" 若不同源页面执行上面代码...跨文档消息机制(postMessage) 不同源的 DOM 是不能相互操纵的，降低了效率，因此引入跨文档消息机制，通过 window.postMessage 的 JavaScript 接口进行不同源的...当用户打开黑客页后，黑客有三种方式实施 CSRF 攻击：自动发起 GET 请求黑客的站点：CSRF 攻击演示 <img src=...2.4 站点隔离(Site Isolation)策略最开始 Chrome 划分渲染进程是以标签页为单位，所以一个标签页中多个不同源的 iframe 也会被分配到同一个渲染进程中，很容易让黑客通过 iframe

1.6K21 8

再谈沙箱：前端所涉及的沙箱细讲

jsonp：解析服务器所返回的jsonp请求时，如果不信任jsonp中的数据，可以通过创建沙箱的方式来解析获取数据；（TSW中处理jsonp请求时，创建沙箱来处理和解析数据）；、执行第三方js：当你有必要执行第三方...总而言之：要解析或执行不可信的JS的时候，要隔离被执行代码的执行环境的时候，要对执行代码中可访问对象进行限制的时候如何实现/使用沙箱实现沙箱最方便的模式iframe，同理，也可以使用webWorker。...allow-same-origin允许 iframe 内容被视为与包含文档有相同的来源。allow-top-navigation允许 iframe 内容从包含文档导航（加载）内容。...因为直接使用会破坏沙箱原则 // 所以我们选择使用传参的形式将 window对象传入沙箱内 // 此时沙箱内使用window对象的时候，不会再去全局搜索window对象 // 而使用的就是沙箱内部定义的形参...这与严格模式有编译时就检查变量是否定义冲突，所以严格模式不会允许异已存在，因此严格模式禁用With语句具体可以阅读《JavaScript中 with的用法》，我是从不用with可以使用with API，

1.4K1 0

「面试常问」靠这几个浏览器安全知识顺利拿到了大厂offer（实践篇）

CORS，让其可以安全地进行跨域操作；两个不同源的 DOM是不能相互操纵的，因此浏览器中又实现了跨文档消息机制，让其可以比较安全地通信，可以通过 window.postMessage 的 JavaScript...「可以通过 3 种方式注入恶意脚本」存储型 XSS 攻击首先黑客利用站点漏洞将一段恶意 JavaScript 代码提交到网站的数据库中，比如在表单输入框中输入这样一段内容： <script src=...往往是攻击者将目标网站通过 iframe 嵌入到自己的网页中，通过 opacity 等手段设置 iframe 为透明的，使得肉眼不可见，这样一来当用户在攻击者的网站中操作的时候，比如点击某个按钮（这个按钮的顶层其实是...frame busting 如果 A 页面通过 iframe 被嵌入到 B 页面，那么在 A 页面内部window 对象将指向 iframe，而 top 将指向最顶层的网页这里是 B。...HTML 中检查，标签是否有可能导致浮出。

8482 0

说说JS中的沙箱

你不能够在模板表达式中试图访问用户定义的全局变量。总而言之：当你要解析或执行不可信的JS的时候，当你要隔离被执行代码的执行环境的时候，当你要对执行代码中可访问对象进行限制的时候，沙箱就派上用场了。...} 通过设置has函数，可以监听到变量的访问，在上述代码中，仅暴露个别外部变量供代码访问，其余不存在的属性，都会直接抛出error。...不能创建新的弹窗和window 5. 不能发送表单 6....但是vm是绝对安全的吗？不一定。...通过runInNewContext返回沙箱中的构造函数Function，同时传入切断原型链的空对象防止逃逸，之后再外部使用的时候，只需要调用返回的这个函数，和普通的new Function一样调用即可。

2.6K3 0

将微前端做到极致-无界方案

，有很大的优化提升空间。...js 沙箱隔离无界将子应用的 js 放置在 iframe（js-iframe）中运行，实现了应用之间 window、document、location、history 的完全解耦和隔离。...可以直接拿到主应用的 window 对象来进行通信主应用可以向子应用注入 props 对象，里面可以注入数据和方法供子应用调用内置的 EventBus 去中心化通信方案可以让应用之间方便的直接通信...主应用： 1、修改主应用的 index.js，将共享包挂载到主应用的 window 对象上 // index.js import Antdv from "ant-design-vue"; // 将需要共享的包挂载到主应用全局...window.Antdv = Antdv; 2、加载子应用时注入插件，将主应用的 Antdv 赋值到子应用的 window 对象上 <WujieVue name="A" url="xxxxx" :

2.6K2 0

【微前端】1443- 将微前端做到极致-无界方案

5K3 2

JavaScript 页面资源加载方法onload，onerror总结

资源加载：onload，onerror 浏览器允许我们跟踪外部资源的加载 —— 脚本，iframe，图片等。...为什么我们需要 error 的详细信息？因为有很多服务（我们也可以构建自己的服务）使用 window.onerror 监听全局 error，保存 error 并提供访问和分析 error 的接口。...我们有了完整的 error 报告。总结图片，外部样式，脚本和其他资源都提供了 load 和 error 事件以跟踪它们的加载： load 在成功加载时被触发。...为了立即显示一张图片，我们可以“提前”创建它，像这样： let img = document.createElement('img'); img.src = 'my.jpg'; 浏览器开始加载图片，并将其保存到缓存中...例如，当我们计划显示一个包含很多图片的可滚动图册，并希望确保所有图片都已加载完成时，这个函数很有用。在源文档中，你可以找到指向测试图片的链接，以及检查它们是否已加载完成的代码。它应该输出 300。

4.1K1 0

微软Outlook for Android移动应用的XSS漏洞分析

就Outlook来说，比较扯的是，iframe框架不受阻止外部图像设置的BlockExternalImages影响，但是，如果攻击者有能力在邮件中植入可运行的JavaScript代码，那将会是一个危险的安全威胁...通过电子邮件实现的存储型XSS（Stored XSS）通常，在一个Web浏览器中，可以通过javascript:这样的语法形式来调用一个URL，但是由于同源策略限制，单独域下的iframe框架中的JavaScript...，最终，包含在iframe框架中的JavaScript就能在客户端手机设备上成功运行了。...我能从Outlook应用中窃取数据，也就说明我可以用它读取和加载其中的HTML内容。...于是，结合这个点，我构造了一个新的Payload，有了如下执行效果：我构造的Payload形如以下： <iframe src="javascript:alert(window. top. document

1.4K2 0

Web 嵌入 | Electron 安全

"时 iframe 中的 JavaScript 和 Electron 渲染页面的 JavaScript 是同一个上下文吗？...]['flag']); }, 1000); 这里设置了 1 秒的延时，保证 iframe 那边设置变量完成这样就可以直接获取到 iframe 中的 window 对象了同源的情况下 iframe...或者称作 HTML 嵌入对象元素）表示引入一个外部资源，它用于嵌入各种外部对象到网页中，如图像、多媒体（如音频、视频）、SVG图形、PDF文档、Flash动画（虽然现代Web已逐步淘汰Flash）等。...关闭同源策略如果关闭同源策略，会让不同源的 object 通过 window.parent 获取到渲染进程的上下文吗？...上下文和 Node.js 因为 WebContentsView 是主进程模块，按照上面的案例，每个 WebContentsView 是有一个实例对象的，可以通过实例对象对其进行管理是否能够执行 Node.js

5931 0

前端基础知识整理汇总（上）

检查当前上下文中的参数，建立该对象下的属性与属性值。检查当前上下文的函数声明，也就是使用function关键字声明的函数。在变量对象中以函数名建立一个属性，属性值为指向该函数所在内存地址的引用。...如果函数名的属性已经存在，那么该属性将会被新的引用所覆盖。检查当前上下文中的变量声明，每找到一个变量声明，就在变量对象中以变量名建立一个属性，属性值为undefined。...然后使用arguments和其他命名参数的值来初始化函数的活动对象。但在作用域链中，外部函数的活动对象始终处于第二位，外部函数的外部函数的活动对象处于第三位...直至作为作用域链终点的全局执行环境。...具体的有：变量作用域（和作用域链条，闭包里面来自外部作用域的变量），函数参数，以及 this 对象的值。...window.name 原理： window对象有个name属性，该属性有个特征：即在一个窗口(window)的生命周期内,窗口载入的所有的页面都是共享一个window.name，每个页面对window.name

1.3K1 0

多应用聚合实践

iframe 在企业中，各个研发部门往往各自开发自己的应用。当需要把这些应用聚合在一起时。以往的解决方案是在主应用中嵌入 iframe，使用 iframe 加载和切换子应用页面。...这种做法有几个缺点： iframe 路径状态无法保存。...当父应用页面被刷新时，iframe 会丢失跳转的路径状态（你可以将iframe中的页面状态保存在父应用的URL上，然后在刷新页面的时候从URL上读取状态再来修改iframe中的页面地址。...中，我们引入了antd和bootstrap两个外部样式文件、a.js和b.js两个本地外部文件、mobx和react两个外部JS文件。...globalThis 给这个函数绑定上下文 window.proxy 执行这个函数，并把上面提到的沙箱对象 window.proxy 作为入参分别传入因此，当我们在 JS 文件里有 window.a

1.6K2 0

盗窃网络域名_域名实际上是与计算机什么对应的

3.2 document.domain 使用条件：有其他页面 window 对象的引用。二级域名相同。协议相同。端口相同。...'; iframe.contentDocument; // 框架的 document 对象 iframe.contentWindow; // 框架的 window 对象这样，我们就可以获得对框架的完全控制权了...补充知识（绝对干货）：当两个页面不做任何处理，但是使用了框架或者 window.open() 得到了某个页面的 window 对象的引用，我们可以直接访问的属性有哪些？..."> 在 iframe.html 中设置好了 window.name 为我们要传递的字符串。...3.4 [HTML5]postMessage 在 HTML5 中， window 对象增加了一个非常有用的方法： JavaScript windowObj.postMessage(message, targetOrigin

2K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云