0

我有一个页面A.com,上面有一个 iframe,其"src="B.com. 例如,src="http://B.com/index.asp?123456"

查询字符串123456是分配给 domain 的客户端密钥A.comindex.asp使用密钥进行数据库查找以识别域。

我怎样才能确保它是A.com发出呼叫的页面?

我想过通过location.host,但这可能会被黑客入侵。也就是说,C.com可以说:这是B.com通过更改location.hostB.com.

(显然,location.host是通过 JavaScript 确定的。)

A.com除了 iframe ,我还可以有其他 HTML 代码。

4

1 回答 1

0

您可以使用 postMessage 并验证事件对象的来源。但您不应依赖任何涉及安全性的客户端验证。只需在任何开发者工具中的 post 消息回调上添加一个断点,就可以轻松绕过此方法。

于 2013-04-25T21:33:40.377 回答