<脚本>src 替换 - 沙箱破坏者 - 它会持续吗？

Question

大家好，我正在开发一个允许嵌入代码的网络 do-dad。

在此特定嵌入中，通过 javascript 将 iframe 添加到页面来代替嵌入代码。我现在可以控制用户的页面，并且由于我也从 javascript 编写 iframe 的内容，所以可以控制 iframe 页面。这样做（而不是从我们的服务器获取 iframe）让我们可以与 iframe 进行对话以执行一个很酷的技巧。

问题： iframed 页面仍然需要从我们的服务器获取 ajax 内容。沙盒问题！在我看来，解决方案是

有人告诉我，大多数浏览器的这种能力都处于待宰状态。这是真的吗？糟糕的！在我的（诚然简短的）研究中，我找不到任何与此效果相关的内容，尽管我会去找专家，

• 但
• AdWords 是如何运作的？他们需要打电话回家，对吗？他们是怎么做到的？
• 据我了解，即将推出的跨站点 XHR 内容将弹出安全对话框 - 这是真的吗？
• 有人可以推荐其他不会弹出安全对话框的沙箱破坏技术吗？

（是的，我知道安全问题 - 我们穿着防护服之类的）

谢谢！

Answer 1

src替换是一个可行的机制吗
实现沙盒破坏者类型
效果如何？

是的

src 替换是否可行？

是的。这就是最初的 AJAX。

AdWords 是如何运作的？他们需要打电话
家，对吗？他们是如何做到的？

AdWords 基于您网站的屏幕抓取。这是与上下文相关的。除非您知道如何使用 URL 哈希技术，否则不会抓取 Ajax 内容。

据我了解，不久的将来
可用的跨站点 XHR 内容将
弹出安全对话框 - 这是真的吗？

托管页面需要明确允许这一点，是的。

有人可以推荐吗？
沙盒破坏者技术不会
弹出安全对话框？

使用闪存。