黑客有可能从iframe外部检查保存到‘window`中的javascript对象吗?
黑客有可能从iframe外部检查保存到'window'中的javascript对象。在浏览器环境中,由于同源策略的限制,iframe与父窗口之间的通信是受限的。同源策略要求iframe与父窗口具有相同的协议、域名和端口,才能进行通信。
因此,如果黑客在iframe外部的环境中,无法直接访问或检查保存在iframe中的javascript对象。这是因为iframe中的javascript对象只能在同源的父窗口中访问。
然而,需要注意的是,如果存在安全漏洞或跨站脚本攻击(XSS)等问题,黑客可能通过其他手段获取到iframe中的javascript对象。因此,在开发过程中,需要注意安全性,并采取相应的防护措施,如输入验证、输出编码、使用安全的API等。
关于iframe和同源策略的更多信息,可以参考腾讯云的文档:
相关·内容
1回答
在我的React应用程序中,我使用的是由服务器提供内容的iframe。没有在样式中添加任何关于overflow的内容,我只在Chrome中看到水平滚动条(没有可拖动的滚动条,只有条形),而不是其他浏览器,比如FireFox和Edge。的内容是不能从外部操作的,以防我添加了iframe.body。所以我的问题是,为什么只在Chro
浏览 0提问于2019-04-05得票数 0
我正在尝试创建一个沙箱,我可以在其中检查跟踪像素是否已成功执行。<script async="true" type="text/javascript" src="a.adroll.com/j/roundtrip.js"></script有什么建议
浏览 1提问于2013-01-29得票数 1
回答已采纳
我有一个简单的HTML页面,它导入一个JS模块,如下所示: .. snip
<button onclick="btnClick()">Go!如何将这些函数带回正确的作用域?
浏览 615提问于2020-01-11得票数 5
我正在处理一个系统,在这个系统中,下面的Javascript代码(超出我的控制范围)在页面的早期被执行
浏览 0提问于2011-05-25得票数 14
回答已采纳
我有一个带有一些属性的JavaScript对象。有什么方法可以实现我在IE6中想要实现的目标吗?如果是的话,怎么做?
然后,我想要实现的是将选定的图像放回正确的CKEditor实例中(某些页面
浏览 2提问于2010-03-23得票数 0
1回答
我有一个基本的html文件(base.html),里面有一个使用(iframe.html)的iframe。iframe仅在单击某个菜单项时显示。它们都托管在同一个域中。在base.html中,我包含了一个指向我使用的外部服务的脚本。包括脚本将返回一个驻留在我的页面上的对象。<script type="text/javascript
浏览 2提问于2012-05-18得票数 7
页面中硬编码表单代码时,我会使用上面的代码。上面的代码很容易地检查地址栏中的url参数,并给出一个表单域的值。现在,我创建了一个可移植的iframe小部件,可以在外部其他地方使用。下面是iframe代码的一个示例:我希
浏览 2提问于2012-09-27得票数 0
回答已采纳
2回答
这实际上只适用于IE8和更低的用户。但既然我没有身份证,我就不能用这个方法.我尝试过几种不同的方法,但没有成功。对于IE,它只打印外部/父窗口内容,而不是当前关注的iFrame。
更新:因此在IE控制台中执行window.frames[2].prin
浏览 5提问于2012-10-31得票数 2
回答已采纳
我在顶部窗口中有一个名为CoolThing的JS对象。<script type="text/javascr
浏览 0提问于2010-06-22得票数 1
回答已采纳
我想要做的是强制一些任意的JavaScript代码“在”DOM元素中执行,例如<div>。换句话说,是否有可能让一段代码“认为”<div>是文档层次结构(或文档的<body> )的根?真实生活示例:<!DOCTYPE html><head>
<title>E
浏览 11提问于2010-07-23得票数 13
回答已采纳
我正在做一个项目,在那里我们试图实现一些类似于WebOS的东西。有几个人提供了使用<iframe>加载外部应用程序的想法。
我已经搜索并找到:,这个项目也使用(您可以在演示中检查DOM来查看它)。如果有某种JavaScript API,它在父文档中是可访问的,但由于<iframe>不允许跨域选项而无法访问,那么您将无法使用这种JS。通过使用结构化克隆算法来虚
浏览 4提问于2016-11-30得票数 0
1回答
在用java和c++编写代码后,我开始学习javascript,我正在尝试画一个矩形。如果我只是在主体的脚本中正常编码,我可以画一个普通的矩形,但我想让我的文件看起来整洁,并有一个函数,以防我需要在我的程序中调用更多的矩形。我已经用谷歌搜索过了,但我还是想不出怎么做。我已经尝试将函数放在head部分和js文件中。<!ctx.fillStyle = "#FF0000";
//ctx.fi
浏览 3提问于2018-01-14得票数 1
我曾多次遇到问题,无法在外部js文件中获得onclick函数,以便在Laravel项目中工作。下面是我的页面源中的一个示例:<script type="text/javascript" src="http://[我也尝试将它添加到我的<head>中<
浏览 8提问于2020-08-24得票数 1
回答已采纳
1回答
我正在嵌入一个带有iframe的结账页面上的表单,我试图采取购物车的价格,并有它自动输入到金额字段。当我在控制台中检查cart变量时,它的值似乎是$("span[data-test='cart-price-value']").innerText;,但是我不知道是应该在嵌入iframe的脚本中还是在iframehtml本身中设置该变量,或者是否必须同时设置这两个
浏览 10提问于2020-05-29得票数 0
1回答
假设我有一个AngularDart组件,它将div和iframe作为模板添加到div中。 <div> </div>
更复杂的是,这里有很多按钮等等,因为我正
浏览 3提问于2014-12-04得票数 2
回答已采纳
当第一次加载以下页面时(例如当输入url或在windows资源管理器中打开文件时),则使用边框绘制iframe。但是,当重新加载/刷新页面时,没有边框。<html> </head> <iframe </body>
</
浏览 3提问于2018-07-30得票数 1
回答已采纳
在Firebug中,DOM选项卡显示所有公共变量和对象的列表。在Chrome的控制台中,你必须输入你想要浏览的公共变量或对象的名称。有没有办法--或者至少是一个命令--让Chrome的控制台显示所有公共变量和对象的列表?这将节省大量的打字工作。
浏览 4提问于2010-05-29得票数 276
回答已采纳
4回答
我使用的是一个contentEditable div,它允许用户编辑主体HTML,然后使用AJAX请求将其直接发布到站点。当然,我得对它做一些安全检查。最明显的是确保在提交的HTML中搜索<script不会提交任何脚本标记。这是在第一次运行htmlentities,将数据传输到另一台服务器,然后运行html_entity_decode之后完成的。此外,打开的每个标记都必须关闭,关闭的每个标记必须在用户提交的HTML中</
浏览 1提问于2011-09-24得票数 4
回答已采纳
我试图从silverlight控件调用javascript函数(在我们的代码中)。我试图通过以下方式调用该函数:我得到了“未能调用: showPopup”的错误
我可以在没有问题的情况下调用HtmlPage.Window.Invoke("al
浏览 1提问于2009-02-10得票数 7
回答已采纳
1回答
我希望获得一个访问令牌,以便使用Javascript从我的画布应用程序中访问Graph。这是我的代码: appId: conf.FACEBOOK_APP_ID, channelUrl:if (response.status === 'connected')
在获得访问令牌之
浏览 3提问于2013-06-23得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
