6

問題

iframe に「サンドボックス化」したい JavaScript コンテンツがいくつかあります。

<script type="text/javascript">
    doSomethingPotentiallyMalicious( // ideally, i want this to be able to run...
        top.document.getElementById('sensitive_information') // ...but want this to fail due to cross-domain permissions
    );
</script>

問題は、Web アプリケーションの性質上、iframe を含む親ページでこれをインラインで実行する必要があり、クロスブラウザー互換の方法でこれを実行する必要があることです。

データの URL...ほとんどですが完全ではありません

データ URL を介して iframe にコンテンツを設定することで、Chrome で目的の効果を得ることができました。

<iframe id="sandbox" src="data:text/html;charset=utf-8,%3Cscript%20type%3D%22text%2Fjavascript%22%3E%0A%20%20%20%20doSomethingPotentiallyMalicious(%20%2F%2F%20ideally%2C%20i%20want%20this%20to%20be%20able%20to%20run...%0A%20%20%20%20%20%20%20%20top.document.getElementById('sensitive_information')%20%2F%2F%20...but%20want%20this%20to%20fail%20due%20to%20cross-domain%20permissions%0A%20%20%20%20)%3B%0A%3C%2Fscript%3E"></iframe>

ただし、データ URL のサポートはむらがあり、これはクロスブラウザーで動作する必要があります。

Document.write はそこにコンテンツを取得しますが、クロスドメイン セキュリティが不足しています

安全でないコンテンツを JavaScript でエスケープされた文字列に格納し、それを iframe のコンテンツとして書き込むことができます。

<iframe id="sandbox" src="http://google.com/"></iframe>
<script>
    var unsafeContent = '\x3Cscript\x20type\x3D\x22text\x2Fjavascript\x22\x3E\x0A\x20\x20\x20\x20doSomethingPotentiallyMalicious\x28\x20\x2F\x2F\x20ideally,\x20i\x20want\x20this\x20to\x20be\x20able\x20to\x20run...\x0A\x20\x20\x20\x20\x20\x20\x20\x20top.document.getElementById\x28\x27sensitive_information\x27\x29\x20\x2F\x2F\x20...but\x20want\x20this\x20to\x20fail\x20due\x20to\x20cross\x2Ddomain\x20permissions\x0A\x20\x20\x20\x20\x29\x3B\x0A\x3C\x2Fscript\x3E\x0A\x0A';
    var sandbox = document.getElementById('sandbox');
    sandbox = (sandbox.contentWindow) ? sandbox.contentWindow : (sandbox.contentDocument.document) ? sandbox.contentDocument.document : sandbox.contentDocument;
    sandbox.document.open();
    sandbox.document.write(unsafeContent);
    sandbox.document.close();
</script>

これに関する問題は、そのコンテンツを iframe に書き込むと、クロスドメイン セキュリティが明らかに存在しなくなることです (つまり、doSomethingPotentiallyMalicious関数は親ウィンドウ内のすべてにアクセスできます)。

Document.write + Document.domain もそこに到達していないようです

この以前の SO の投稿document.domainに従って (左端のドメインを削除して、「www.example.com」が「example.com」になるように) を変更しようとしましたが、これもクロスドメイン ポリシーを強制していないようです。

<iframe id="sandbox" src="http://google.com/"></iframe>
<script>
    // prepended to unsafeContent: document.domain = document.domain.replace(/^[\w-]+\./,'');
    var unsafeContent = '\x3Cscript\x20type\x3D\x22text\x2Fjavascript\x22\x3E\x0A\x20\x20\x20\x20document.domain\x20\x3D\x20document.domain.replace\x28\x2F\x5E\x5B\x5Cw\x2D\x5D\x2B\x5C.\x2F,\x27\x27\x29\x3B\x0A\x20\x20\x20\x20doSomethingPotentiallyMalicious\x28\x20\x2F\x2F\x20ideally,\x20i\x20want\x20this\x20to\x20be\x20able\x20to\x20run...\x0A\x20\x20\x20\x20\x20\x20\x20\x20top.document.getElementById\x28\x27sensitive_information\x27\x29\x20\x2F\x2F\x20...but\x20want\x20this\x20to\x20fail\x20due\x20to\x20cross\x2Ddomain\x20permissions\x0A\x20\x20\x20\x20\x29\x3B\x0A\x3C\x2Fscript\x3E\x0A\x0A';
    var sandbox = document.getElementById('sandbox');
    sandbox = (sandbox.contentWindow) ? sandbox.contentWindow : (sandbox.contentDocument.document) ? sandbox.contentDocument.document : sandbox.contentDocument;
    sandbox.document.open();
    sandbox.document.write(unsafeContent);
    sandbox.document.close();
</script>

この時点で私がやろうとしていることは技術的にも実現可能ですか?

4

1 に答える 1

2

window.postMessageが機能するのだろうか。受信した最初のメッセージを評価して javascript を挿入する iframe を設定できます。リンクしたサイトによると、Firefox、IE8+、Opera、Safari、Chrome で動作します。うまくいけば、それはあなたにとって十分なクロスブラウザです. モバイル デバイスに問題がある可能性があります。

于 2012-08-12T21:03:54.420 に答える