javascript - 通过 iframe 登录到远程站点

Question

好的，所以我需要做的是能够将来自远程站点的登录屏幕放在 iframe 中，当他们单击登录按钮时，它会将他们登录到远程站点，然后将本地页面更改为第 2 页到目前为止，这是我设法做的很少的事情。如果这不可能，我是否能够创建一个本地登录，将信息传递到远程站点并获取一个 cookie，然后加载下一个本地页面？

<html>
<head>
    <title>
    </title>
    <meta http-equiv="content-type" content="text/html; charset=iso-8859-1" >
    <style type="text/css">
    #outerdiv
    {
        width:400px;
        height:360px;
        overflow:hidden;
        position:relative;
    }

    #inneriframe
    {
        position:absolute;
        top:-125px;
        left:-802px;
        width:2000px;
        height:2000px;
    }
    </style>
</head>
<body>
    <div id='outerdiv'>
        <iframe src="http://www.99designs.com/login" name="myiframe" id='inneriframe' scrolling=yes></iframe>
    </div>
</body>
</html>

Answer 1

很可能不可能...

这很可能是不可能的，因为您的本地主机和远程主机之间的主机不同，因此由于 同源策略，JavaScript 不允许您访问 iframe 内容所有浏览器都采用。

http://en.wikipedia.org/wiki/Same_origin_policy

您可能能够实现此目的的唯一方法是，如果其他站点不使用 XSS 保护并允许您直接获取/发布到他们站点的登录 URL。这实际上取决于谁控制什么……如果您拥有并控制本地和远程站点，那么这将是可能的。如果不是，它不太可能并且会受到各种可能问题的影响 (即，如果远程站点更改其登录工作方式，您的系统将崩溃，或者对登录注销进行精细控制process 是不可能的，所以你将无法实现你自己的错误处理)。

我想我的意思是您不应该依赖 XSS 漏洞。

为什么要防止这种事情发生？

如果您考虑一下，如果上述情况不成立，那么当您浏览网站时，邪恶的人可能会在后台做很多非常强大和可怕的事情。例如，如果您可以使用 JavaScript 跨主机与隐藏的 iframe 进行通信，那么就没有什么可以阻止某人编写一个隐藏的脚本来导航到 facebook，依赖于您的浏览器存储的用户名和密码，登录，然后开始发布/删除/交 friend ...(这只是一个温和的例子，不涉及信用卡详细信息或政府网站)

其他选择？

按照这些思路实现某些东西的最佳选择是使用服务器端脚本语言，如 php、asp、java、node.js、ruby、lisp、perl 或 python。脚本语言在使用外部资源方面往往没有限制。同样，只要外部站点支持简单或开源登录系统，您就应该能够将一些东西组合在一起，而不是允许您的 JavaScript 使用服务器端脚本作为代理通过 AJAX 登录。例如，您可以通过 PHP 使用 cURL 发布到外部站点并检索该站点返回的 cookie。然而，这不是一个简单的项目，需要大量工作才能正常运行。