我正在考虑一个系统,在该系统中,我允许用户创建支持 Javascript 的小部件,以供其他用户嵌入到他们在我网站上的仪表板中。我想相当严格地限制这些小部件,因此每个小部件都将作为 iframe 存在,并保存在自己唯一的主机名上:例如,ID #47 的小部件可以在 访问w47.widgets.example.com。
对于授予权限的对话框等,允许小部件调用由父窗口显式授予的非常具体的方法会很有帮助,而无需授权 iframe 代表用户对父框架执行任何它喜欢的操作。
父文档是否可以明确允许对不同主机上的子文档的某些方法调用?