小贝子编程

JavaScript级联反射涉及不同的域



简单地说:

外部JavaScript代码可以在页面dom?

的第三个不同域中注入另一个托管的另一个脚本

ex:

给定 foo.com 网站,具有将其SRC设置为http://bar.xyz/script.js的HTML脚本标签。
script.js可以注入http://qux.net/abc.js (托管在qux.com上(吗?

http://foo.com/
  <script src="http://bar.xyz/script.js"></script>
  // Content of bar.xyz/script.js:
  !(function(){
    var k = document.createElement('script')
        , s = document.getElementsByTagName('script')[0];
    k.type='text/javascript'; k.async=true;
    k.src = document.location.protocol+'//qux.net/abc.js';
    s.parentNode.insertBefore(k,s);
    //…
  })();

我无法注入ABC.JS,也无法弹出错误/警报接缝。
这里有任何安全限制策略吗?
我仍在寻找文章,或者在谈论这个问题……
谢谢。

是;一旦JavaScript代码以您的来源运行,它与您自己的代码完全没有区别,并且可以竭尽所能。

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium