parent.location 可以信任吗?

Can parent.location be trusted?

提问人:Sinder 提问时间:12/24/2020 最后编辑:epascarelloSinder 更新时间:12/24/2020 访问量:45

问:

这个问题涉及在浏览器(客户端)中运行的 javascript 代码。

假设我知道我在 iframe 中,我可以信任还是实际上是我的 iframe 父级的真实 url?window.parent.locationdocument.referrer

换句话说,假设用户的浏览器正确地遵循了CORS规范,是否可以以这样的方式构建我的页面?evil.comwindow.parent.locationdocument.referrerevil.com

JavaScript iframe 浏览器 跨域 客户端

评论

1赞 epascarello 12/24/2020
所以你删除一个并制作另一个?
0赞 epascarello 12/24/2020
developer.mozilla.org/en-US/docs/Web/HTTP/Headers/......
0赞 epascarello 12/24/2020
如您删除的问题中所述...您甚至无法确定它是浏览器
2赞 CertainPerformance 12/24/2020
他确实说假设用户的浏览器在遵循 CORS 规范方面做得正确,这在我看来是一个合理的假设。我非常有信心您提到的属性是值得信赖的,但我不是 100% 确定。
1赞 epascarello 12/24/2020
developer.mozilla.org/en-US/docs/Web/API/Window/location stackoverflow.com/questions/6478617/ 只读...

答: 暂无答案

上一个:在客户端将视频转换为音频,然后将其上传到后端以减小上传大小

下一个:从客户端 javascript 连接到 Zookeeper