假设我们有一个窗口和一个带有一些javascript的iframe。 iframe源代码直接在iframe的“srcdoc”属性中定义。
是否有可能以某种方式迫使浏览器表现得像从另一个域加载iframe一样?
我的意思是我不希望iframe中的javascript能够通过“window.parent”或类似的东西访问主窗口,因为iframe内容不受信任。但问题是它存储在同一个域中,我甚至想使用相同的请求加载主窗口和iframe内容(使用“srcdoc”属性)。
所有可能吗?
谢谢!
答案 0 :(得分:3)
您可以添加字符串:
"<script> parent = top = null; </script>"
到srcdoc。这应该会阻止srcdoc表单中的其余代码通过window.parent和window.top访问父级。
我不确定是否有其他方法可以访问iframe的父级。