这是一个创建于 3332 天前的主题,其中的信息可能已经有所发展或是发生改变。
A站通过postMessage向B站传递信息, B站返回内容.
这个过程中, B站除了能拿到A主动传出的信息外,
能否越权获得A站其他信息或者通过JS操纵A站?
具体点比如我用iframe在A站嵌入了B站. 那么会对A产生安全问题吗?
关于HTML5 postMessage大致如下面链接中最后一段所述.
https://github.com/jiangyuan/blog/blob/master/blog/javascript%20的跨域问题.md
这个过程中, B站除了能拿到A主动传出的信息外,
能否越权获得A站其他信息或者通过JS操纵A站?
具体点比如我用iframe在A站嵌入了B站. 那么会对A产生安全问题吗?
关于HTML5 postMessage大致如下面链接中最后一段所述.
https://github.com/jiangyuan/blog/blob/master/blog/javascript%20的跨域问题.md
 |
1
zzNucker 2015-04-07 14:45:42 +08:00  1
如果你把B站返回的内容eval一下,不就有安全问题了。。。。
设计是没有问题的,一般是用的人有问题。 |
 |
3
yyfearth 2015-04-07 15:44:41 +08:00
postMessage 安全性很好的 传递的都是string 除非你用eval解析才会出问题
json的话用 JSON.parse 就好了 另外文章里面有些内容已经很老了 document.domain 新一点的浏览器 早就不能改了 貌似 window.name 也已经不可靠了 |
Select Language