問題タブ [browser-security]

したがって、エラー メッセージは、別のドメインの (i) フレーム内から親フレームまたはウィンドウにアクセスするためのセキュリティ制限です。

(安全でない JavaScript が、URL yyy のフレームから URL xxx のフレームにアクセスしようとしています。ドメイン、プロトコル、およびポートが一致している必要があります)。

ただし、このエラーが生成された場所から webkit または chrome に表示される行はありません。

では、これに違反している行のリストを取得するにはどうすればよいでしょうか? 検索できることはわかっていますが、これは Cookie (document.cookie など) にも当てはまりますか? 禁止されているもののリストはありますか?

編集: また、$(window.top) の代わりに何を使用する必要がありますか?

ありがとう。

URL がhttp://www.crunchbase.comの Web ページがあります。

ここで、ユーザーがアドレスバーに新しい URL を入力してこの Web サイトから離れ、たとえばhttp://www.techcrunch.comと入力して送信すると、次の Javascript イベントがトリガーされます。

1. BeforeUnload

2. OnUnload.

これらの両方のイベントで、document.location をフェッチすると、古い URL (http//www.crunchbase.com) のみが返されます。しかし、ユーザーが入力した新しい URL ( http://www.techcrunch.com ) を知る方法はありますか?

JSONデータを取得しようとする外部サーバーに静的Webサイトをアップロードしたいlocalhost:3000（サーバープログラムはユーザーのコンピューターで既に実行されている）。

私は次のようにjQueryでこれを行おうとしています：

クロスオリジンポリシーエラーが発生するのはなぜですか？また、どうすればそれらを阻止できますか？JSONデータにアクセスすると、これらのクロスサイトエラーが無効になると思いましたか？

更新1

提案されたようにコールバックを使用してJSONPを試しましたが、奇妙な問題があります。URLを指すスクリプトタグを追加するlocalhost:3000/pageと、コールバックが読み込まれ、ページの読み込みが完了するとデータが正しく表示されますが、これは目指しています。

このメソッドを使用して同じことを試みて$.getJSONも、以前と同じエラーが発生します。

XMLHttpRequest cannot load http://localhost:3000/page. Origin http://localhost is not allowed by Access-Control-Allow-Origin.。

一連の古いサイトから単一の新しいサイトへの一時的な移行として、複数の Web サイトを iframe で表示する必要があり、jQueryUI のタブを使用して見栄えが悪くならないようにしています。

ただし、複数のタブがあるため、ブラウザーの履歴ボタンが混乱して面倒になる可能性があるため、各タブの上に進む/戻るボタンを取得して履歴をナビゲートしようとしています.

問題は、それらがすべて外部 URL であり、XSS の通常のセキュリティ問題に直面していることです。私の現在の試みは

historyしかし、さすがに外部ドキュメントのプロパティにアクセスする権限がありません。

私が考えることができる他の唯一の解決策は、iframeが変更されるたびに追跡srcし、リストに保持し、毎回それを変更することです。可能であれば、この厄介なアプローチは避けたいと思います。

では、XSS セキュリティを回避して、外部 iframe の履歴をナビゲートするにはどうすればよいでしょうか?

パスワードを記憶することを選択した場合、ブラウザーはパスワードとユーザー名をどこに保存しますか。それは常にクッキーですか、それとも他の暗号化されたファイルですか。また、ブラウザのオートコンプリート機能によって埋められたデータはどこから来るのですか。同じオートコンプリート情報が以前に入力されたもの以外の Web サイトのフィールドに表示されることがあるため、Cookie からのものではないようです。ブラウザ自体からデータを取得することは可能ですか (一般的なものと同様に機密情報)?

私はセールスフォースを使用しており、iframe に JavaScript ロジックを挿入する必要があります。そのロジックは、親フレームから変数を読み取る必要があります。

問題は、親 html が force.com でホストされ、静的 iframe html が salesforce.com でホストされ、Chrome が「安全でない Javascript が URL でフレームにアクセスしようとしています...」というメッセージを表示することです。

変数をiframeの属性に入れて、内側（window.frameElement）からアクセスしようとしましたが、うまくいきませんでした。

助言がありますか？

ブラウザの進むボタンと戻るボタンは、strut2 でフォームを送信してアクションを呼び出します

（例：ログインフォーム）フォームの送信ボタンを手動でクリックするだけでフォームを送信する必要があります。

次のコードを使用して、 url を入力してアクションを呼び出さないようにすることができます。

ただし、ブラウザのボタンは送信ボタンをクリックするように機能するため、フォームを送信します。

事前にどんな助けでも.thanks.!

http://forums.digitalpointのようなページにアクセスしようとすると、ブラウザウィンドウにポップアップ表示され、ユーザー名とパスワードを要求される[認証が必要]ダイアログボックスを使用して、自分のWebサイト（の一部）を保護できるようにしたいと考えています。 .com / contains/config.phpまたはルーター構成ページ。私はそれがjavascriptではないことを理解しています、おそらくそれはファイルのパーミッションと関係がありますか？か否か？説明してください。

Web ワーカーは、JavaScript およびブラウザ環境の既知のセキュリティ問題を軽減または強化しますか?

コンテンツ セキュリティ ポリシーでディレクティブを指定するconnect-srcと、ブラウザの同一オリジン ポリシーが緩和され、クロスオリジン XHR リクエストを作成できるようになりますか? それとも、このディレクティブは、すでに合法的な XHR (つまり、同じオリジンの呼び出しまたは CORS によって有効化された呼び出し) を制限するためにのみ使用されますか?