- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我们有一个站点,其中 Iframe 指向动态 Urls(通过用户输入)。如果出现 404/500 或任何其他错误,我们希望将 Iframe 源替换为不同的用户友好的其他 URL。为此,我们可以使用 onerror 事件来识别动态网站何时出现问题。 (然后,如果出现问题,请替换 iframe 网址)这也适用于跨域 url,但是在某些情况下,动态 url 可能是恶意的,并且当恶意代码将在我们网站的同一框架、同一域中执行时,就会出现此类安全问题。
这个假设是否正确?有什么解决办法吗?还有其他建议吗?
谢谢,塔尔
最佳答案
we have a site with Iframes pointing to dynamic Urls (by user input). In case of a 404/500 or any other error, we want to replace the Iframe source with a different user friendly other URL.
所以听起来您正在制作一种“网页中的浏览器”。
For this we can use with the onerror event to identify when the dynamic websites have problems. (then, in case of problem replace the iframe url)
是的,除了没有多少东西有 onerror 事件。我假设您从对其他答案的评论中了解到这一点。如果我理解正确的话,你是在谈论使用虚拟 script
元素首先加载 URL(作为脚本,即使它不是真正的脚本),并确定 URL 是否有效使用对 script
元素使用 onload
/onerror
处理程序(onerror
不会在脚本错误时触发,只有网络错误)。
This works also for cross domain urls, however there might be a case where the dynamic url might be malicious and such security issue rises where the malicious code will execute in the same frame ,same domain of our website.
Is this assumption correct?
你的假设是正确的。如果 URL 实际上确实包含脚本,它将在与您的网站位于同一域的用户浏览器中执行。
Is there any solution for this?
一个简单的解决方法可能是做一些像 jsfiddle.net 所做的事情......有一个单独的子域作为第三方内容和您的真实域之间的“防火墙”。
Any other suggestions?
脚本预加载 hack 实际上就是一个 hack。它盗用脚本标签并提出不必要的请求。我可能会考虑使用 XHR 来触发 HEAD 请求,或者做一些轻型服务器端代理。
关于javascript - 使用 <script src=.... 的跨框架脚本来查找站点的状态代码 - 安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9518661/
我正在尝试使用 jquery 获取图像 src,如下所示: HTML Javascript var imageSrc = $('.post_container img').attr('s
我遇到错误,无法完成构建。我搜索了 Stackoverflow 和 Github。我已经尝试了很多方法,但我无法修复。请帮忙。 (1) 在 [src/nullnull/debug, src/debug
我正在尝试使用图像制作一款类似 Match3 的游戏,但我无法进行比较。我正在为固定数量的 atm 执行此操作,只是为了让它正常工作,稍后应该在 foreach 循环中。如果有什么区别的话,该函数位于
我正在使用 jquery 插件 OwlCarousel,在我的一个 View 中使用 ng-repeat 场景,如下所示: 它运行良好,并为轮播中的每个项目输出以下标记: 有没
我的代码如下所示: Bitmap b = BitmapFactory.decodeResource(getResources(), R.drawable.image1); int wi
如果未找到 src,我将使用 Angular 指令作为后备 url 作为名称首字母 指令 (function () { 'use strict'; angular .m
我是构建 chrome 扩展的新手,从一个小项目开始,我需要在弹出窗口中打印“构建版本”。构建版本被附加到 JS/CSS 资源中,如下所示: 需要从脚本 src 值中提取“6.0”。你能帮我看看如何
类型‘AbstractControl’上不存在属性‘Controls’。
这个tutorial演示如何使用指令 ngSrc 而不是 src : 他们要求: Replace the ng-src directive with a pl
我正在创建一个包含多个图像的图库,您可以在其中单击一个小缩略图,然后将打开该图像的更大版本。 打开后,如果您移动光标,图像将在 y 轴上跟随您。类似于 https://www.zara.com/es/
文档[] src.charAt src.length 这三样东西是什么? 我确定 pixState 会给我 1 或 0; var pixState = document[imgName].src.ch
问题背景: 我正在使用这个问题的解决方案:How to update AngularJS view when the value has not changed?所以在我看来我有: 当我更改照片时
我在 html 中有整个页面,在输出之前我想将所有 img src 替换为 data-src我正在使用 return (preg_replace('~]*\K(?=src)~i','data-',
Difference(s): android:src and tools:src? 如果有的话,什么时候使用 tools:src 而不是 android:src 是合适的? 最佳答案 如果您在运行时在
我需要检查每个 script 标签的 src 值,如果匹配,我想更改该脚本标签的 src 属性...像这样: var scripts = document.getElementsByTagName("
使用 img 标签的 data-src 或 src 属性有什么区别和后果(好的和坏的)?我可以使用两者获得相同的结果吗?如果是这样,应该什么时候使用它们? 最佳答案 属性 src 和 data-src
我使用 Vue。我尝试输出图像,当我使用 src 时效果很好,但当我使用 :src 时效果不佳。 作品 不起作用 我试过但没有用 @ 在路径的第一个。 ~ 路径中的第一个。 ./ 在路径的第一个。
在当前项目中我正在使用 jQuery。我只是想知道为什么会这样, $('#homeIcon').hover(function(){ document.getElementById('homeI
我在严格的 Java 环境中。 所以这个问题并不像标题中那么简单,我不是要解决我遇到的问题,它更理论化,以获得更好的知识。 我感兴趣的是用双引号或单引号匹配 src,但如果是双引号,它也必须用双引号结
我有一个 Joomla 2.5.28,现在使用 https 而不是 http。 一些文章(很多)包含来自 Vimeo 的嵌入视频。 最初,这些视频是使用http嵌入的,所以现在我的数据库中有字段int
我是一名优秀的程序员,十分优秀!