我正在评估将第三方JavaScript移动到沙盒iFrame中的目的,以防止它们访问主页数据。因此,如果第3方脚本遭到破坏,则只能窃取iFrame中的数据。
我们要移动的流程之一是auth表单。现在,我们有一个带有Google reCaptcha的JavaScript,可触发针对我们服务器的日志记录流。我考虑过将整个表单和reCaptcha js移到沙盒iFrame中。这样,我可以将reCaptcha javascript与页面的其余部分隔离。登录应该在iFrame内完成,并且以某种方式,该iFrame会将Cookie或会话发送到主页。
您认为这是一个有效的方案吗?我主要关心的是reCaptcha脚本是否可以在沙盒iFrame中使用。
让我包括2个方案设计。 方案1:
方案2(如果方案1无效):
对于这两种情况,在使用reCaptcha密钥提交表单之后,应该提供一种将cookie或所需的密钥传递到主页而无需重新加载自身的方法。这也可以通过postMessage实现。
此致
