使用 iframe sandbox 时的注意点
来源:互联网 发布:python 正无穷大 编辑:程序博客网 时间:2024/04/30 02:49
一、allow-scripts 允许执行js
二、allow-same-origin 同源,允许父子页面共享cookie, 互相操作.
三、当被嵌入的文档与主页面同源时,强烈建议不要同时使用 allow-scripts 和allow-same-origin ,否则的话将允许嵌入的文档通过代码删除 sandbox 属性。虽然你可以这么做,但是这样的话其安全性还不如不用sandbox。
四、使用src=”data:……”, srcdoc=”….” 直接设置iframe 内容时的区别:
1. src 的data:text/html是 Data URI, 长度不能超过32,7682. 同时使用时srcdoc优先级更高3. 当前 IE 不支持 srcdoc [浏览器支持](http://caniuse.com/#feat=iframe-srcdoc)4. srcdoc更安全
五、postMessage可用于父子窗口安全地传递消息
参考资料:
https://developer.mozilla.org/zh-CN/docs/Web/HTML/Element/iframe
http://stackoverflow.com/questions/19739001/which-is-the-difference-between-srcdoc-and-src-datatext-html-in-an
浏览器同源政策及其规避方法
https://www.html5rocks.com/en/tutorials/security/sandboxed-iframes/
0 0
- 使用 iframe sandbox 时的注意点
- Html Iframe使用注意点
- <iframe> 标签的 sandbox 属性
- 使用Iframe时要注意的一个问题
- MediaElement在使用时的注意点
- IP core使用时的注意点
- 使用webpack时的一些注意点
- Retrofit使用时的注意点
- 使用iframe需注意的问题
- 迭代器使用的注意点
- 使用SqlDataReader的注意点
- 使用memset的注意点
- 使用Hive的注意点
- NSLocalNotification的使用注意点
- 使用继承的注意点
- 使用Knockout的注意点
- goto 的使用注意点
- SimpleDateFormat 的使用注意点
- Python学习06:函数
- js面试
- 将位图显示到控件
- POJ 1703
- 【Noi OpenJudge】 带通配符的字符串匹配 解题报告
- 使用 iframe sandbox 时的注意点
- 【图论最短路】【CQBZOJ 1634】【图论专项赛】外星人入侵
- 关于sprintf和snprintf的正确使用摘要
- api接口设计
- 【NOIP模拟题】【数学归纳法】【卡特兰数】【快速幂】【费马小定理】【逆元】2011.11.12第一题题解
- 跨平台APP开发初识
- Linux系统磁盘分区
- Android6.0新特性 运行时权限
- linux系统下使用Xen安装半虚拟化xen客户机(paravirtualized Xen guest)