我在应用程序中动态创建一个iframe,结果如下所示:
<iframe src="blob:http%3A//localhost%3A9292/0194dfed-6255-4029-a767-c60156f3d359"
scrolling="no" sandbox="allow-scripts allow-popups allow-same-origin"
name="sandbox" style="width: 100%; height: 100%; border: 0px;"></iframe>
具有这样的沙箱配置是否安全(特别是允许将iframe内容视为来自同一来源)?
最佳答案
allow-same-origin
不安全。这将使iframe可以访问父数据(例如本地存储)
另外,allow-same-origin
将允许iframe向父级的api发出ajax请求,这也可能有害。
但是,要让iframe访问父级数据,还需要执行脚本,因此不带allow-same-origin
的allow-scripts
是无害的
至于allow-popups
,iframe可以执行的操作并不多,除了它可以打开其他网址之外
关于javascript - 在<iframe/>上安装沙箱="allow-scripts allow-popups allow-same-origin"是否安全?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/35208161/