javascript - 如何防止 iFrame 中的 JavaScript 访问外部站点的属性，即使 iFrame 的内容来自同一来源？

Question

基本上我想要一个 iFrame，它总是限制它的内容，就好像它来自不同的域一样，即使内容来自同一个来源。

有没有办法做到这一点？

Answer 1

最好的解决方案可能是在 iframe 上使用 HTML5 沙箱属性，它（默认情况下）显式禁用脚本和对父 DOM 的同源访问。

在http://msdn.microsoft.com/en-us/hh563496.aspx很好的介绍

截至 2012 年 12 月，大多数当前浏览器似乎都支持此功能。

Answer 2

这将隐藏window.parent在子框架/窗口中，但不会隐藏在top属性中。

但是在window.parent子窗口/框架的 onload 事件结束之前，该属性仍然可以访问。

<html>
  <head>
    <style type="text/css">
      #wrapper {width:1000px;height:600px;}
    </style>
    <script type="text/javascript">
      window.onload = function() {
        var frm = document.getElementById('childFrame');
        var win = frm.contentWindow || (frm.contentDocument && frm.contentDocument.parentWindow) || (frm.document && frm.document.parentWindow);
        if (win) win.parent = null;
      }
    </script>
  </head>
  <body>
    <div id="wrapper">
      <iframe id="childFrame" src="child.html" frameborder="0" style="width:100%;height:100%;"></iframe>
    </div>
  </body>
</html>