iframe 如何跨域点击页面中的某个元素

2020-07-15 10:06:36 +08:00

sixshenglx

站点 1，我自己的站点，用户访问入口站点 2，别人的站点，没有管理权限

想到达到的效果访问，用户访问站点 1 时 iframe 会打开站点 2 的某个页面，并由站点 1 触发站点 2 的某个元素的点击事件，我写了 js 发现不同域名有跨域问题，请问有别的方法可以达到这种效果吗，有偿请教

1947 次点击

所在节点

问与答

17 条回复

blackcurrant

2020-07-15 10:20:30 +08:00

我也想知道这种攻击办法。

cydian

2020-07-15 10:23:41 +08:00

正常情况下，不可能实现。
除非你修改响应头。
或者反代站点 2，添加上跨域头。

knva

2020-07-15 10:53:56 +08:00

tampermonkey 插件呗

whywhywhy

2020-07-15 11:03:55 +08:00

每次为跨域苦恼的时候，就想想目标站点如果是银行网站，就知道为什么浏览器要限制你干这干那了

freshgoose

2020-07-15 11:06:53 +08:00

要是真有这套方案，没个几十万是买不来的。真的。你可能低估了这方案的价值。

shintendo

2020-07-15 11:07:20 +08:00

大哥，你嵌个淘宝页面，直接帮用户下单了？

ChanKc

2020-07-15 11:11:55 +08:00

我们做银行项目的，防的就是你这种

jugelizi

2020-07-15 11:19:01 +08:00

浏览器厂商就是防你们这种

systemcall

2020-07-15 11:31:31 +08:00

让用户用 IE，之后给用户装个 ActiveX 插件应该就可以了。有办法让国产浏览器用 IE 内核打开网页

BreezeInWind

2020-07-15 11:34:35 +08:00

自己开发一个浏览器给目标用户用，否则不要想了

krapnik

2020-07-15 11:46:13 +08:00

浏览器插件 + background + iframe + inject

Xusually

2020-07-15 11:55:45 +08:00

浏览器的安全限制就是防的这个。。。

sarices

2020-07-15 12:04:23 +08:00

反向代理那个页面就不跨域了啊

azh7138m

2020-07-15 12:36:34 +08:00

买一个浏览器的漏洞，就能做到了（

linuxvalue

2020-07-15 12:41:44 +08:00

我也想知道这种攻击办法。

zkwap

2020-07-15 13:54:36 +08:00

chrome 插件为所欲为

sixshenglx

2020-07-16 15:13:49 +08:00

@cydian
@azh7138m 反向代理被屏蔽了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/690138

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.