2

假设我们有一个窗口和一个 iframe,里面有一些 javascript。iframe 源代码直接在 iframe 的“srcdoc”属性中定义。

是否有可能以某种方式强制浏览器表现得像从另一个域加载 iframe 一样?

我的意思是我不希望 iframe 中的 javascript 能够通过“window.parent”或类似的方式访问主窗口,因为 iframe 内容不受信任。但问题是它存储在同一个域中,我什至想使用相同的请求来加载主窗口和 iframe 内容(使用“srcdoc”属性)。

那么有可能吗?

谢谢!

4

1 回答 1

4

您可以在字符串前面添加:

"<script> parent = top = null; </script>"

到 srcdoc。这应该可以防止 srcdoc 表单中的其余代码通过window.parentand访问父级window.top

我不确定是否有任何其他方法可以访问 iframe 的父级。

于 2013-04-20T22:46:07.697 回答