对于我们的论文,我们需要开发一个 AdJail 方法的原型,以提供针对恶意广告的安全性。该方法通过将广告脚本放置在具有不同来源的 iframe 中的“影子页面”中来隔离广告脚本。(受同源策略保护)通过将原始页面的内容复制到影子页面,adscript 只能访问发布者允许访问的内容。
问题在于为 shadowpage 创建 iframe。最初,我们实现了这个:
if (document.createElement && (iframe = document.createElement('iframe'))) {
iframe.id = "shadowpage";
iframe.name = "shadowpage";
iframe.height = 1400;
iframe.width = 1400;
document.body.appendChild(iframe);
var shadowScript = document.createElement("script");
shadowScript.src = "ShadowTunnelScript.js";
iframe.contentDocument.body.appendChild(shadowScript);
adUrl = adScript;
}
显然,这不提供同源策略的请求安全性,因为该 iframe 与包含页面具有相同的源。
我们的替代方案如下,将 iframe 的 src 设置为具有不同来源的页面:
if (document.createElement && (iframe = document.createElement('iframe'))) {
iframe.id = "shadowpage";
iframe.name = "shadowpage";
iframe.height = 1400;
iframe.width = 1400;
iframe.src = "http://***/AdJail/Shadowpage.html";
//iframe.style.display = "none";
document.body.appendChild(iframe);
}
但是在这种情况下,我们原型的用户需要自己在不同的服务器上创建一个影子页面。
我们的问题是:是否可以创建一个不同来源的 iframe,动态生成这个 iframe 的内容,这样用户只需要调用一个库而不需要自己提供 shadowpage。
这是否可以通过首先生成 iframe 的内容然后以某种方式更改 iframe 的来源来实现?