<script> SRC 更换 - 沙盒破坏者 - 它会持续吗?



大家好,我正在做一个web do-dad,它允许嵌入代码。

在这个特殊的嵌入中,通过javascript将iframe添加到页面中以取代嵌入代码。我现在已经控制了用户的页面,而且,因为我也在用javascript编写iframe的内容,所以控制了iframe页面。这样做(与从服务器获取iframe相反)可以让我们与iframe对话来完成一个很酷的技巧。

问题:框架页面仍然需要从我们的服务器ajax的东西。沙箱问题!解决方案,在我看来是<script> src替换-本质上是用沙盒断路器版本替换我们的ajax过程。

有人告诉我,大多数浏览器的这种能力都在砧板上。这是真的吗?太可怕了!在我的研究中,我没有发现任何这样的影响,尽管我想去请教专家

  • 替代<script> src是实现沙盒破坏型效果的可行机制吗?
  • <script> src替代是否可行?
  • 广告词是如何工作的?他们需要给家里打电话,对吧?他们是怎么做到的?
  • 我知道即将可用的跨站点XHR东西将弹出安全对话框-这是真的吗?
  • 有谁能推荐其他不会弹出安全对话框的沙箱断路器技术吗?

(是的,我意识到安全问题-我们穿着保护和什么的)

谢谢!

是SRC替代的可行机制拉出沙箱破型影响吗?

是的

SRC置换是否可行?

是的。这是最初的AJAX。

广告词是如何工作的?他们需要打电话回家,对吗?他们是怎么做到的?

Adwords是基于你的网站的屏幕抓取。它与上下文相关。除非您知道如何使用URL哈希技术,否则不会抓取Ajax内容。

我明白即将到来的可用的跨站点XHR的东西弹出安全对话框-这是真的吗?

主机页面需要明确地允许这个,是的。

有谁能推荐一下吗而打破沙盒的技术则不会弹出安全对话框?

使用Flash .

相关内容

  • 没有找到相关文章

最新更新