我正在开发一个 iframeable 组件,现在偶然发现了一些看起来像安全问题的东西。
我有两个网站:
- 站点 A,运行在 http://localhost:3002
- 站点 B,运行在 http://localhost:3000
站点 A 将站点 B 嵌入到 IFrame 中。站点 B 需要使用数据,这应该由站点 A 提供。但是,现在站点 B 仅通过 URL 接受数据,并且由于原始 URL 可能需要身份验证,因此站点 A 获取数据,并将其转换为对象 URL (与URL.createObjectURL
),然后通过 提供给站点postMessage
B。站点 B 现在应该从该 URL 获取数据并使用它。
但是,站点 B 获取对象 URL 被浏览器阻止:
- 铬合金:
Not allowed to load local resource: blob:http://localhost:3002/<UUID>
- 火狐:
Security Error: Content at http://localhost:3000/... may not load data from blob:http://localhost:3002/<UUID>
据我所知,这些消息未连接到 CSP 或 CORS。但是,我无法理解问题是什么以及它是否可以修复——我一直认为对象 URL 目前没有任何跨站点问题,这正是使用它的原因。
那么为什么会发生这种情况,我能做些什么呢?