所以我有一个特定于站点的书签,用于创建带有工具栏的页面(使用localstorage来设置/获取变量),然后为目标站点创建一个iframe,比如www.example.com。 [想法大量借鉴了精彩的RWD Bookmarklet(http://responsive.victorcoulon.fr/)]。它工作得很好,但是我想提供一个指向该bookmarklet的可点击链接(因为在Ipad中添加书签很痛苦)但不幸的是,这会导致明显的XSS跨站点问题,因为链接不在{ {1}}。
为了改善这种体验,我想知道是否可以使用弹出窗口(如twitter)来利用www.example.com上当前存在的现有通用loadScript函数。在www.example.com上的javascript控制台中,我目前可以调用www.example.com并且它可以正常工作。这意味着我不需要将js追加或交叉加载到iframe中,但我需要iframe本身来调用supervar.loadScript("http://dl.dropboxusercontent.com/s/blah/thefile.js")调用。
可能可能在一个window.onload / document.ready类型的场景中调用supervar.loadScript,或者弹出代码的上下文是否指向about:blank / notexample.com in在哪种情况下supervar.loadScript将不存在。 supervar可以用吗?
我正在尝试使用一个包含javascript代码的按钮,这反过来会打开一个新的窗口/选项卡到一个站点,但是能够在DOM准备就绪时调用一个变量上的命令。 同样,我对XSS很新,所以我不确定这是否是网站上的安全问题。我不是要尝试从一个站点到下一个站点访问变量,只是一种在不必使用书签的情况下在站点上加载用户脚本的方法。
进行真正的测试:
访问:window.postMessage。
打开javascript控制台,然后输入:firsttaste.kraftcanada.com
这将执行仅包含警报消息的mwolfe_alert.js。
有没有办法可以在* .kraftcanada.com之外的网站上创建一个可点击的链接,它会在{document,window,$}上创建一个弹出/新标签.onload / read会调用nitroWidget .loadScript?