- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
由于除了沙盒之外没有其他方法可以阻止 iframe 重定向顶部框架,沙盒会阻止可见性跟踪所需的其他功能,因此我想跟踪重定向。由于一个站点可以有多个 iframe,因此可以是其中任何一个。
有什么方法可以跟踪/找出哪个(特定的 iframe)导致顶部框架重定向?
这是一个沙箱(使用浏览器控制台并启用保留日志):
注意 iframe 内容通常是跨域的。为了便于在 sandox 中使用它。
最佳答案
我们可以使用类似 iframe.contentWindow.document
的东西访问 iframe 内容但如果我们观察 Same-origin policy ,这是可能的.
另一种方法是设置 Content-Security-Policy
标题如:
<meta http-equiv="Content-Security-Policy" content="frame-src http://example.com">
父页面中的此 header 可防止加载与 http://example.com 不同的网站在框架中,还有一种方法可以report发送帖子的拒绝行为但不幸的是不能用 <meta>
设置标记(它只是服务器端)。使用这种方法我们必须执行白名单,所以我认为在这种情况下它可能没有用。但是,如果第一次给出白名单,可以设置所有站点可用,所以当iframe重定向时,浏览器将拒绝加载它。
如果不是同源和执行白名单的可能性,那么我认为我们可以做的更好的是调用 iframe onunload
事件,不幸的是,当 iframe 页面不仅在重定向时重新加载时,也会触发此事件。我认为这是最接近的方法。为此,此代码有效。
var srcs = ["iframe2.html","iframe.html","iframe2.html"];
for (let i = 0; i < srcs.length; i++) {
var iframe = document.createElement('iframe');
iframe.src = srcs[i];
iframe.name = "i"+i;
document.body.appendChild(iframe);
window["i"+i].onunload = function(){console.log("change "+i)}
}
当然onunload
第一次被触发,当所有 iframe 加载时,因此重定向是第 2 次第 3 次,依此类推。但我们可以排除第一种情况。
这是一个完整的例子 https://codesandbox.io/s/o16yk7mqy ,我创建了 iframe3.html,它既不刷新也不重新加载以清楚地显示这一点。我还创建了一个简单的重定向或重新加载 iframe 列表。
更新据我所知,你想要的是用 sandbox 设置 iframe属性和白名单所有你想要的但没有 allow-top-navigation
,类似于:
<iframe src="iframe.html" sandbox="allow-script allow-forms allow-popups allow-pointer-lock allow-same-origin"></iframe>
allow-top-navigation
https://codesandbox.io/s/lpmv6wr6y9 allow-top-navigation
但是 codesandbox 会阻止框架重定向,所以如果我们尝试 https://4x8v1mojq7.codesandbox.io/这是 codesandbox 创建的 url,我们可以看到顶部框架重新加载。正如我在评论中所说,至少在 Chrome 64.0.3282.167 中,当我们委托(delegate)除 allow-top-navigation 之外的所有内容时,当 iframe 尝试重定向顶部框架时,它会抛出异常。该行为在 Firefox(至少 58.0.2)中有所不同。 Firefox 拒绝顶部导航但继续使用代码。
因此,作为结论,我认为最好的方法是 sanbox 和 onunload 的组合,或者只是 onunload。当然,如果可能的话,Content-Security-Policy是最安全和灵活的方式。这取决于实现。我认为不涉及服务器端代码来执行完美的解决方案几乎是不可能的。有白名单可以查,像这个API https://developers.google.com/safe-browsing/v4/还有黑名单可以查,看这个帖子https://security.stackexchange.com/questions/32058/looking-for-url-blacklists-of-malicious-websites .
关于Javascript,跟踪 iframe 重定向顶部窗口,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50352346/
有没有办法在 xdebug 跟踪输出中查看 echo 或 print 函数调用。我正在为我在我的服务器中运行的所有脚本寻找一个全局配置(或一种方法)。 例子: 我希望跟踪输出显示 echo 调用。默
我将应用程序从2.0.0M2升级到了2.1.0,但是当我尝试运行该应用程序时,出现此错误: Note: /Volumes/Info/proyectos-grails/vincoorbis/Member
我如何在共享点中执行日志记录。我想使用跟踪。 以便它记录 12 个配置单元日志。 最佳答案 微软提供了一个例子: http://msdn.microsoft.com/en-us/library/aa9
如何跟踪 eclipse 和 android 模拟器的输出。我习惯于在 Flash 和 actionscript 中这样做。 在 AS3 中它将是: trace('我的跟踪语句'); 最佳答案 您有几
是否可以在 Postgresql 上进行查询跟踪?我在带有 OLEDB 界面的 Windows 上使用 9.0。 此外,我需要它是实时的,而不是像默认情况下那样缓冲... 最佳答案 我假设您的意思是在
第一天 HaxeFlixel 编码器。愚蠢的错误,但谷歌没有帮助我。 如何使用 Haxe、NME 和 Flixel 追踪到 FlashDevelop 输出。它在使用 C++ 执行时有效,但对 Flas
我有一个关于 iPhone 上跟踪触摸的快速问题,我似乎无法就此得出结论,因此非常感谢任何建议/想法: 我希望能够跟踪和识别 iPhone 上的触摸,即。基本上每次触摸都有一个起始位置和当前/移动位置
我正在做我的大学项目,我只想跟踪错误及其信息。错误信息应该与用户源设备信息一起存储在数据库中(为了检测源设备,我正在使用MobileDetect扩展名)。我只想知道应该在哪里编写代码,以便获得所有错误
我正在 Azure 中使用多个资源,流程如下所示: 从 sftp 获取文件 使用 http 调用的数据丰富文件 将消息放入队列 处理消息 调用一些外部电话 传递数据 我们如何跟踪上述过程中特定“运行”
在我的 WCF 服务中,当尝试传输大数据时,我不断收到错误:底层连接已关闭:连接意外关闭 我想知道引发此错误的具体原因,因此我设置了 WCF 跟踪并可以读取 traces.svclog 文件。 问题是
我的目标是在 Firebase Analytics 中获取应用数据,在 Google Universal Analytics 中获取其他自定义数据和应用数据。 我的问题是我是否在我的应用上安装 Fir
我正在 Azure 中使用多个资源,流程如下所示: 从 sftp 获取文件 使用 http 调用的数据丰富文件 将消息放入队列 处理消息 调用一些外部电话 传递数据 我们如何跟踪上述过程中特定“运行”
我们正在考虑跟踪用户通过 Tridion 管理的网站的旅程的要求,然后能够根据此行为将此用户识别为“潜在客户”,然后如果他们在之后没有返回,则触发向此用户发送电子邮件X 天。 SmartTarget
在 Common Lisp 中,函数(跟踪名称)可用于查看有关函数调用的输出。 如果我的函数是用局部作用域声明的,我如何描述它以进行跟踪? 例如,如何跟踪栏,如下: (defun foo (x)
有什么方法可以检测文本框的值是否已更改,是用户明确更改还是某些 java 脚本代码修改了文本框?我需要检测这种变化。 最佳答案 要跟踪用户更改,您可以添加按键处理程序: $(selector).key
int Enable ( int pid) { int status; #if 1 { printf ( "child pid = %d \n", pid ); long ret =
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
我有以下测试代码: #include int main(void) { fprintf(stderr, "This is a test.\n"); int ret = open("s
我有一个闭源 Java 应用程序,供应商已为其提供了用于自定义的 API。由于我没有其他文档,我完全依赖 API 的 javadoc。 我想跟踪特定用例在不同类中实际调用的方法。有什么办法可以用 ec
我正在学习 PHP。我在我的一个 php 函数中使用了如下所示的 for 循环。 $numbers = $data["data"]; for ($i = 0;$i send($numbers[
我是一名优秀的程序员,十分优秀!