mb增加关闭iframe跨域检查功能

最新推荐文章于 2022-05-23 21:05:48 发布
最新推荐文章于 2022-05-23 21:05:48 发布
阅读量237 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weolar/article/details/80336091
版权

在主frame,使用

var frame = document.getElementById("login_frame");

console.log('haha2:' + dom.contentWindow);

这种方式访问子frame,存在跨域问题。

那么怎么在chromium里去掉这个检查呢。经过调试,发现仅仅去掉SecurityOrigin::canAccess之类还是不行,

原因是如下堆栈:

blink::V8Window::namedPropertyGetterCustom
blink::DOMWindowV8Internal::namedPropertyGetterCallback
v8::internal::PropertyCallbackArguments::Call
v8::internal::`anonymous namespace'::GetPropertyWithInterceptorInternal
v8::internal::JSObject::GetPropertyWithInterceptor
v8::internal::Object::GetProperty
v8::internal::JSReceiver::GetProperty
v8::internal::Object::GetMethod
v8::internal::JSReceiver::ToPrimitive
v8::internal::Object::ToPrimitive
v8::internal::Object::Add
v8::internal::BinaryOpIC::Transition

v8::internal::Runtime_BinaryOpIC_Miss

会去取Symbol.toPrimitive,

关键就是这个Object::GetProperty,会调用it->HasAccess()去请求是否有访问权限。

it->HasAccess()里的逻辑是先检查

Context::cast(receiver_context)->security_token() ==  native_context->security_token()

再检查v8windows里设置的

DOMWindowV8Internal::securityCheck。

所以只要在WindowProxy::setSecurityToken里

把所有SecurityToken都用context->SetSecurityToken

设置成一样的,v8就全都放行了。


龙泉寺扫地僧
关注
web开发––跨域技术
07-18 256
什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。 同源策略限制了一下行为: Cookie、LocalStorage 和 IndexDB 无法读取 DOM 和 JS 对象无法获取 Ajax请求发送不出去 常见的跨域场景 所谓的同源是指,域名、协议、端口均为相同。 http://www.nealyang.cn...
2018春招前端面试: 闯关记(精排精校) | 掘金技术征文
CRPER
03-13 6488
前言 去年年末研发组解散失业, so选择回去学车了,也顺利拿到了驾照 最近回归大深圳….开始踏上漫漫的找工作之路; “拉勾上吊一百年不匹配!!!”,”BOSS直聘日夜没反应!!!” 题目范围涵盖我最近遇到的笔试题和面谈的(CSS/JS/HTTP/Node/Hybrid/Vue/NG/React) emm…..这里不列举哪些公司了, 若是你完整的阅读一...
chromium爬虫_软件推荐丨miniblink —— 精简小巧的 Chromium 内核控件
weixin_42511512的博客
12-21 1595
点击右上方,关注开源中国OSC头条号,获取最新技术资讯miniblink是一款精简小巧的浏览器控件,基于chromium精简而成,是市面上最小巧的chromium内核控件没有之一。它仅10余M大小,只需一个dll,几个纯C接口即可轻松调起,并嵌入到任何软件内使用。你可以用来显示网页、做软件的界面框架、做爬虫等功能。它内置了各种网络拦截接口,可以方便的替换网络资源;解除了跨域访问限制,方便本地开发测...
Iframe 内联框架
LiLi的博客
07-24 1063
iframe 元素会创建包含另外一个文档的内联框架(即行内框架)。iframe是属于内联框架,它是body的子级,和body是父子关系。iframe作为一个普通元素放在body里。 属性 ①width 可设置内联框架的宽 ②height 可设置内联框架的高 ③name 设置框架名称 ④src 设置页面的路径 ⑤scrolling规定是否在 iframe 中显示滚动条(yes,no,auto) ⑥ frameborder规定是否显示框架周围的边框(1默认有边框,0) 简单理解来说,iframe 就是用来对整
miniblink每日最新下载地址
热门推荐
weolar的专栏
04-30 2万+
miniblink-180502.rar  https://pan.baidu.com/s/1yLSzbKlL5WYCY93cxJP0hQ* 修复淘宝npaliedit控件崩溃的问题--------------------------------------miniblink-180502.rar  https://pan.baidu.com/s/1R5RSmF2uNniv_TsK-SbL2w* ...
优雅绝妙的Javascript跨域问题解决方案
老唐 的专栏
08-12 1万+
关于Javascript跨域问题的解决方案已在之前的一片文章中详细说明,详见:http://blog.csdn.net/sfdev/archive/2009/02/13/3887006.aspx;除了文中提到的3种解决方案之外,在今年的baidu salon分享会上黄方荣主讲的《WEB数据交互的艺术》中提到一个非常优雅绝妙的解决方案!话不多说,直接上解决方案原理图:该图要解决的问题说明如下:在AAA.com域名下的index.htm页面中内嵌了BBB.com域名下的一个页面index.htm,正常情况下if
郁闷了,miniblink的electron接口必须使用多进程模式了
weolar的专栏
04-16 4256
最近miniblink的electron模式开发本来一切顺利,但昨天遇到一个大坑。 electron里主进程和渲染进程是分开的,在miniblink的electron模式里是使用多线程模拟的,每个线程都有自己的v8 context。本来一切ok,但 在跑vscode的时候,发现一处大坑! vscode的node_modules\gc-signals  模块,是个native 模块,vscod
跨域问题及解决方案
weixin_44685906的博客
05-23 1064
跨域问题及解决方案前言问题引入同源策略跨域解决方案JSONPCORS跨站资源共享简单请求复杂请求响应头预检请求window.postMessage 前言 跨域请求的响应一般会被浏览器所拦截,注意,是被浏览器拦截,响应其实是成功到达客户端了。 问题引入 你打开了一个银行站点,然后又一不小心打开了一个恶意站点,如果没有安全措施,恶意站点就可以做很多事情: 修改银行站点的 DOM、CSSOM 等信息; 在银行站点内部插入 JavaScript 脚本; 劫持用户登录的用户名和密码; 读取银行站点的 Cookie、
深入浅出FE(三)跨域Cross-Origin
前端产品工程师
02-17 795
目录 1. 跨域是什么 2. 为什么有跨域 2.1 防止csrf攻击 2.2 防止xss攻击 3. 跨域解决方案? 3.1jsonp 3.2 "跨域资源共享"(Cross-origin resource sharing)CROS 3.3 document.domain + iframe跨域 3.4window.name + iframe 3.5 location.ha...
9种常见的前端跨域解决方案(详解)
weixin_30646315的博客
07-07 941
一、什么是跨域?   在前端领域中,跨域是指浏览器允许向服务器发送跨域请求,从而克服Ajax只能同源使用的限制。 什么是同源策略?   同源策略是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。   同源策略...
修复miniblink 文件编码检测和退出内存泄漏的bug
weolar的专栏
05-31 1798
文本检测的bug原因是我把icu整个都端了,自然icu里检测编码的好用接口也废弃了。不过我扣了一部分出来,用于检测UTF8和GBK编码。剩下的编码,经海绵宝宝 的提醒,用了微软的 IMultiLanguage2::DetectInputCodepage 接口,发现还挺好用的,感谢海绵宝宝。 接口用法:http://www.codeproject.com/KB/recipes/Det
终于找到miniblink播放jwplayer不了的原因了
weolar的专栏
11-02 3967
  var loadConfig = [{ // this.load = function(e) type: "qt", levels: e.list }]; A().load(loadConfig); A().play(!0); _.init({ player: p(), gam...
C++ miniblink mb开源浏览器框架
活到老、学到老
09-21 9243
桌面浏览器开发,之前一直用的是qt自带的webkit模板,存在一些刷新问题,升级后mingw版本不在支持webkits,只得寻求三方控件。 miniblink 是一款基于chromium内核开源的浏览器框架,进行了大量的裁剪,体积非常小且封装的很简练,只需要一个node.dll和wke.h就可以进行使用了,作者:龙泉寺扫地僧,并且还在不断的完善,感谢无私分享的好人。 先去github上下载源码...
浏览器嵌入组件miniblink使用笔记
tomggx的专栏
09-15 1万+
miniblink是龙泉寺扫地僧基于chromium内核开发的一款开源浏览器嵌入组件,相对于BlzFans早期开发的WKE组件,在HTML5支持、JS引擎速度、新Web标准兼容性上都有较大改进,而且项目较为活跃,作者还贴心地wke和cef的接口,方便了原有基于WKE项目迁移到miniblink上。近期有幸得到项目主要作者的指点,现将其用于演示功能的WKEXE项目的学习使用笔记记录如下:在WKEXE项
使用miniblink 在程序中嵌入浏览器
Masimaro的专栏
03-17 8359
最近公司产品中自定义浏览器比较老,打开一些支持h5 的站莫名报错,而且经常弹框。已经到了令人无法忍受的地步了,于是我想到了将内核由之前的IE 升级到Chromium。之前想到的是使用cef来做,而且网上的资源和教程也很多,后来在自己尝试的过程中发现使用cef时程序会莫名其妙的崩溃,特别是在关闭对话框的时候。我在网上找了一堆资料,尝试了各种版本未果,这个方案也就放弃了。后来又搜到了wke和minib...
miniblink API文档
weolar的专栏
05-26 1万+
新文档地址:https://weolar.github.io/miniblink/doc-main.htm    
miniblink设置window全局函数及调用
tokyo97的博客
02-14 2447
//函数定义 static jsValue js_callAsFunction(jsExecState es, jsValue object, jsValue* args, int argCount) { wchar_t text[1025] = { 0 }; wchar_t title[1025] = { 0 }; if (argCount >= 1) wcsncpy(tex...
2017.8.29 miniblink更新日记
weolar的专栏
08-30 1089
现在决定每天把miniblink更新进度记录下来,就当日报。 今天处理了 1,c#绑定接口方面的问题 2,跟进https://account.teambition.com/login会导致FontLoader::FontToLoad在关闭时候无法释放的问题。原因是关闭时候BlinkPlatformImpl::shutdown()没调用 WebThreadImpl::fire 3,跟进
PHP与JS实现iframe跨域及同域通讯的类库
当在IFrame中执行方法时,FrameMessage.js会创建一个临时的iframe,用于同域通信或者处理跨域的预加载请求。 `FrameMessage.class.php`在服务器端接收这些请求,解析参数,并生成一段JavaScript代码,这段代码将被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值