如何阻止 iframe 访问父框架？

Question

我有一个带有 iframe 的页面。该页面和 iframe 的源位于不同的域中。在 iframe 中，我使用了一个名为 CuteEditor 的富文本编辑器（事实证明它并不那么可爱）。 CuteEditor 中的某些 javascript 函数尝试访问“文档”，但浏览器拒绝访问，因为它们不在同一域中。

这是确切的错误：

访问属性“文档”的权限被拒绝 http://dd.byu.edu/plugins/cuteeditor_files/Scripts/Dialog /DialogHead.js 第 1 行

编辑 javascript 是不可能的，因为它已被缩小和混淆，因此所有变量名称都是神秘的。

目前不可能使用不同的编辑器，因为这是一个工作项目，而且这是我被告知要使用的编辑器。

有没有办法让 iframe 保持独立？那么它会在 iframe 内完成所有操作，并且不会尝试突破到父框架吗？

Answer 1

如果子 iframe 是从不同的域加载的，那么它将无法访问父页面或 DOM。

然而，仍然存在以下可能的中间人攻击漏洞。假设您的页面加载 http://yoursite.com 并且 iframe 转到 http://badsite.org

• 第一个 http://badsite.org 重定向到 http://yoursite.com/badpage

• 此步骤需要中间人攻击。攻击者必须能够介于用户和 yoursite.com 之间，或者控制 DNS 查找的答案。这比听起来更容易——任何对公共 WiFi 接入点拥有管理控制权的人都可以做到这一点（想想星巴克、酒店、机场）。目标是提供 http://yoursite.com/badpage 来自攻击者的站点，而不是您的实际站点。

• 然后，攻击者可以从（假）http://yoursite.org/badpage。因为它与主页位于同一域中，所以它将有权访问父 DOM。

HTML5 iframe 沙箱属性似乎是避免这种情况的方法。您可以阅读规范，但最好的描述可能是此处。

这似乎在 Chrome 上受支持，< a href="http://msdn.microsoft.com/en-us/hh563496.aspx" rel="noreferrer">IE10，FireFox、Safari。

该规范表示，如果未设置“allow-same-origin”属性，“内容将被视为来自唯一的来源”。这应该可以防止您的子 iframe 访问父级 DOM 的任何部分，无论浏览器认为 URL 是什么。

Answer 2

您不必担心这种情况的发生。

iframe 跨源通信的唯一方法是使用 postMessage，并且只有当您直接侦听该域时才可能实现。

https://developer.mozilla.org/en/DOM/window.postMessage