iframe跨域注入js_前端-跨域问题

最新推荐文章于 2021-04-17 23:14:38 发布
最新推荐文章于 2021-04-17 23:14:38 发布
阅读量1.8k 收藏 1
点赞数
文章标签: iframe跨域注入js

08f2957e8f8aced4d5af8ef9a98e7c2f.png

关于跨域问题,我们首先了解到是什么原因导致出现跨域,跨域导致的结果,遇到跨域我们该如何解决处理,以下内容我将会从这个几个方面谈一下个人对此的理解。

  1. 出现跨域的原因:出现跨域是因为浏览器存在着一个安全功能-同源策略原因导致的。一个完整的URL地址包含以下几个方面,比如一个URL地址为‘http://www.baidu.com/index.html?name=mo&age=25#dowell’,
  • 传输协议:http,https
  • 域名: 例如http://www.baidu.com为网站名字,http://baidu.com为一级域名,www是服务器
  • 端口:不写的话默认走的是80端口号
  • 路径:http://www.baidu.com/路径1/路径2。/表示跟目录
  • 携带的参数:?name=mo
  • 哈希值:#dowell

只有当两个页面的协议、域名、端口都相同的时候,则满足了浏览器所谓的同源策略,才能够读写对方的资源,但凡有一个协议或者域名或者端口不相同,都不满足这个同源策略,就不能读写对方的资源了,这是一个用于隔离潜在恶意文件的重要安全机制。

2.跨域导致的结果:禁止了读写对方资源的权利(dom和js对象无法获得、AJAX无法发送、Cookie、localstorage、indexDb等无法读取),隔离了一个潜在恶意文件的重要安全机制。

3.如何解决跨域:如果遇到跨越这种问题的时候,该怎么解决呢?

人类身份验证 - SegmentFault

  • 通过jsonp跨域(唯一缺点,只能实现get请求)
  • 通过documen.domain+iframe跨域
  • 通过location.hash+iframe
  • window.name+iframe
  • postMessage跨域
  • 跨域资源共享(CORS)
  • nginx代理跨域
  • node.js中间件代理跨域
  • websocket协议跨域
weixin_39989159
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
js调用-嵌入iframe
06-03
js调用-嵌入iframe,测试JS之间的调用关系
如何在iframe中调用js方法
jameskaron的专栏
05-20 2505
转自:https://stackoverflow.com/questions/1600488/calling-javascript-function-in-iframe 亲测可用, 复制如下: Calling a privacy-respecting XMLHttpRequest from an <iframe> HTML: <iframe id="iframe"></iframe> JavaScript: const iframe = d..
iframe 注入js_HTML注入的花式利用姿势汇总
weixin_39607450的博客
12-01 2165
HTML注入和XSS的原理类似,在某些无法执行javascript脚本的场景下使用一些简单的HTML标签同样可造成危害,下面总结几种场景和攻击思路。一、从HTMLi到钓鱼攻击1、 常规钓鱼 如图片上传的功能,上传后的img 标签的 src 属性若可控,或url地址填写处,iframe的src属性可控,则可编写一个带有误导性的HTML,诱骗被攻击者点击,从而跳转到钓鱼页面:&lt...
安全防范知识点
w_cyj的博客
10-21 154
XSS 什么是 XSS 攻击? XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中 XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型 持久型:攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击。 非持久型:一般通过修改 URL 参数的方式加入攻击代码,诱导用户访问链接从而进行攻击。 如何防范 XSS 攻击? 转义字符:转义输入输出的内容,对于引号、尖括号、斜杠进行转义 func
解决JS跨域访问IFrame的解决方案
08-04
通过HTTPClient界面在JSP中嵌入iframe子界面跨域时,无法获取跨域界面的属性值的问题
JS应用】Iframe 解决跨域
dong123ohyes的专栏
04-17 4596
跨域的东西, 简直不要接触太多,网上相关内容一抓一大把,但是突然学习到一个关于前端解决跨域的方式 就是 利用 iframe 不管你有没有了解过,反正我没有 我觉得很有用并且容易忘,所以我记录下来哈哈哈 下面会分三块内容进行描述 1、基本原理 2、简单模拟 2、封装的函数 3、封装函数实战 如果觉得排版不好看,可以看原版【JS应用】Iframe 解决跨域,或者拉到最后关注公众号吧 解决场景 现在我们在http://a.com的域名下有一个页面 我们要请求http://b...
iframeJS跨域的方法
涂的专栏
10-23 2294
正 文:     一般情况下,浏览器是禁止JS跨域操作的,这对于iframe调用其他域名下的页面一样是禁止的,在iframe里如果我们想操作父级或子级页面里的dom对象就不行了,如何解决呢?     浏览器虽然会禁止js跨域访问页面中的对象,但对于iframe的层级关系引用并没有做限制,即parent仍然可用;该方案就是利用了2层内嵌 iframe、使用第二
armitage攻击没有attack_基于HTML注入的一种攻击思路
weixin_39886469的博客
11-02 96
背景这是我最近在做某个渗透项目时遇到的一个场景,觉得很有意思,所以记录了下来。先来思考一下,如果有一个点,可以插入一些常用标签,按漏洞分类的话应归属于 HTML 注入,但就是不能执行事件执行 JS(我这里指的是一定不会执行 JS)你会怎么利用?iframe 钓鱼?css 注入?CSRF?这些都是我们比较常用的方法,得分场景利用。再来说一下我最近遇到的这个点。这是一个注册用户功能,用户填好个人信息和...
jsiframe之间跨域交互
kaige8312的博客
07-22 1186
1.父页面调用子页面 直接通过iframe的url?param=abc 方式,把值传到子页面. https://www.cnblogs.com/sydeveloper/p/3712863.html 2.子页面调用父页面 通过parent https://blog.csdn.net/u012374381/article/details/79578311 3. window.po...
动态创建iframe,并动态添加js执行代码
01-22
动态创建iframe,并动态添加js代码动态创建iframe,并动态添加js代码
Allow_CORS__Access-Control-Allow-Origin_0_1_1_0.zip
03-26
Allow_CORS__Access-Control-Allow-Origin
iframe跨域与session失效问题的解决办法
01-21
何为跨域跨域session/cookie? 也就是第三方session/cookie。第一方session/cookie指的是访客当前访问的网站给访客的浏览器设置的seesion /cookie, 会被存储在访客的计算机上。第三方session/cookie指的是当前访问的...
jsonp解决跨域_js_方案_web_跨域_
10-02
关于在js的应用过程中,出现的跨域情况,进行了详细的分析以及提供了对应的解决方案
iframe跨域问题
03-07
iframe跨域问题:Uncaught DOMException Blocked a frame with origin解决方法
JS基于浏览器的爬虫 - 注入Frame标签爬取二手车数据
zzzzls 的博客
11-13 9204
一提到爬虫,大家可能会想到 Python,其完善的第三方库,使得一个刚入门的新手也可以写出一套套完整的爬虫程序,与此同时呢,网站的反爬虫措施也愈加强大。此次,我们另辟蹊径,使用 **Javascript** 来实现一种另类的爬虫!
vue嵌入外部jsiframe
Crazy Taylor
03-04 720
直接上代码 created () { let script: any = document.createElement('script'); script.type = 'text/javascript'; script.src = "https://***.js" script.id = "me" document.head.appendChild(script) }
JS往页面中添加ifream
weixin_45525601的博客
04-11 361
document.createElement(“div”); div.innerHTML = ‘<iframe id=“lockFrame” name=“lockFrame” src=’"“ >’; document.body.appendChild(div);
js和jquery给iframe src赋值的3种方法
weixin_33895475的博客
01-10 4356
js和jquery给iframe src赋值的3种方法 网页使用iframe嵌入网页时,有时候需要动态处理src的值,而不是写死的,所以我们需要知道如何给iframe src赋值,通常是使用js或jquery来实现。本文介绍js和jquery给iframe src赋值的3种方法。 方法一 这是最常用的jsiframe src赋值的方法,代码如下: <!DO...
前端跨域Access-Control-Allow-Origin
最新发布
09-21
前端跨域通常使用Access-Control-Allow-Origin来解决。该属性可以通过服务器端返回带有Access-Control-Allow-Origin标的Response header来实现。通过设置Access-Allow-Origin的值为指定的域名,可以允许该域名下的前端页面进行跨域请求。例如,设置Access-Control-Allow-Origin: www.google.com表示只允许www.google.com这个域名下的页面进行跨域请求;而设置Access-Control-Allow-Origin: *表示允许任何域名下的页面进行跨域请求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值