javascript - "iframe sandbox"技术安全吗？

Question

更新:由于这个问题没有答案，所以我稍微改变了这个问题。下面链接的 Dean 博客上的帖子评论表明此技术在 Safari 中不起作用。

我现在的问题是:下面描述的技术在现代浏览器中是否有效*，特别是有人可以确认它是否在 Safari 中有效吗？

这是最近的 blog post .它在某一时刻说:

Sandboxed natives ... are supported in a variety of browsers, including ... Safari 2.0+

...但后来说 iframe 技术“被除 Safari 之外的所有主要浏览器支持”，他展示的回退涉及使用伪造的构造函数和 __proto__ 做一些奇怪的事情，这似乎有点哈克。

我几乎很难相信两个不同的窗口实际上可以共享同一个窗口，比如 Object.prototype。跨域 iframe 会发生什么？如果我修改了一个框架中的原型(prototype)，另一个框架中的原型(prototype)会被修改吗？这似乎是一个明显的安全问题。有人请阐明这种情况。

^{* 我所说的“工作”是指 My.Object != Object，因此可以在一个窗口中修改原型(prototype)而不影响另一个窗口。}

---

原帖

我知道之前有人问过这个问题，但我有一个具体的解决方案，我想知道之前是否讨论过这种类型的解决方案，以及我可以从哪里了解它的可靠性和接受程度。

问题是如何在 javascript 中扩展 native 类型而不真正弄乱类型本身，所以仅仅改变 Array.prototype 是不好的(也许其他代码正在使用 for..in 和数组)。创建一个返回带有一些函数的 native 数组的假构造函数似乎也不是一个好的解决方案，实际上扩展 native 对象似乎更好。但是您也不能使用 native 类型执行普通的 javascript 虚拟函数原型(prototype) switcharoo 样式扩展，因为当您尝试调用 native 函数时，您会遇到“push is not generic”之类的错误。

因此，我想到的解决方案是这样工作的:创建另一个窗口，向该窗口中的 native 构造函数的原型(prototype)添加功能，然后在您的程序中使用这些构造函数。

此示例将 Array 扩展为 My.Array，并使用 each 函数将 String 扩展为 My .String 带有 alert 功能。

    var My = (function(){

      // create an iframe to get a separate global scope
      var iframe = document.createElement('iframe');
      iframe.style.height = '0px';
      iframe.style.width = '0px';
      iframe.style.border = 'none';
      iframe.style.position = 'absolute';
      iframe.style.left = '-99999px';
      document.documentElement.appendChild(iframe);
      var My = iframe.contentWindow;

      My.String.prototype.alert = function(){
        alert(this);
      }

      My.Array.prototype.each = function(callback){
        for (var i=0, l=this.length; i<l; i++) {
          callback(this[i], i);
        }
      }

      return My;

    }());

同样，我的问题是之前是否讨论过这种方法，它叫什么，我在哪里可以找到更多信息等。我想知道是否有更简洁的方法来获得另一个全局范围而不使用 iframe ，或者如果在某些 javascript 引擎中由于某种原因这可能会失败，或者如果有人认为这是一个特别糟糕的主意或其他什么。

---

更新:我猜人们称这种东西为 iframe 沙箱，不要与 HTML5 iframe 沙箱属性混淆。

相关:

http://dean.edwards.name/weblog/2006/11/hooray/

http://webreflection.blogspot.com/2008/03/javascript-arrayobject.html

Answer 1

我在各种浏览器(Safari、Opera、IE7-9、Chrome、Firefox)中运行了这个页面，并在除 Firefox 之外的所有浏览器中获得了一致的结果，在 Firefox 中，原型(prototype)被沙盒化了，所以这很好，但第二次测试由于某种原因失败了火狐。 iframe 原型(prototype)不会立即扩充。但是，如果您无意增加它，这并不重要。您可以尝试在更多浏览器中运行它进行测试。

请注意，这并没有真正测试任何怪癖，例如(My.Array().slice 将根据浏览器返回主要的 window 数组.. .) 并且可能还有更多。所以我会说这很不安全。

无论如何，这是一种矫枉过正的做法，似乎工作量太大而没有真正的收获。

<!DOCTYPE html>
<html>
<head>
</head>
<body>
<script type="text/javascript">
(function(){
    var ifr = document.createElement("iframe"),
        callbacks = [],
        hasReadyState = "readyState" in ifr;

    ifr.style.display = "none";


    document.body.appendChild(ifr);
    ifrDoc = ifr.contentWindow.document;
    ifrDoc.open();
    ifrDoc.write( "<!DOCTYPE html><html><head></head><body>"+"<"+"script"+">var w = this;"+"</"+"script"+">"+"</body></html>");
    ifrDoc.close();

    if( hasReadyState ) {

        ifr.onreadystatechange = function(){
            if( this.readyState === "complete" ) {
                fireCallbacks();
            }
        };

    }

    function fireCallbacks(){
        var i, l = callbacks.length;
        window.My = ifr.contentWindow.w;

        for( i = 0; i < l; ++i ) {
            callbacks[i]();
        }

        callbacks.length = 0;


    }

    function checkReady(){

        if( hasReadyState && ifr.readyState === "complete" ) {
        fireCallbacks();
        }
        else if( !hasReadyState ) {
        fireCallbacks();
        }
    }

    window.MyReady = function(fn){
        if( typeof fn == "function" ) {
            callbacks.push( fn );
        }
    };


window.onload = checkReady; //Change this to DOMReady or whatever
})()


MyReady( function(){

    My.Object.prototype.test = "hi";

    var a = new My.Object(),
        b = new Object();

    console.log( Math.random(), My.Object !== Object && b.test !== "hi", a.test === "hi" );

});
</script>

</body>
</html>