我在A.com上有一个页面,其中"src="位于B.com上。
例如,src="http://B.com/index.asp?123456"
查询字符串123456是分配给域A.com的客户端密钥。
index.asp使用密钥进行数据库查找以识别域。
如何确保它是A.com上发出呼叫的页面?
我考虑过传递location.host,但这可能被黑了。
也就是说,C.com可以通过将B.com更改为location.host来表示:B.com。
(显然,location.host是通过JavaScript确定的。)
我可以在A.com上使用其他HTML代码而不仅仅是iframe。
答案 0 :(得分:0)
您可以使用postMessage并验证事件对象的来源。但是,您绝不应该依赖任何关注安全性的客户端验证。只需在任何开发人员工具中的帖子消息回调中添加断点,就可以轻松绕过这种方法。