我有一个字符串,其中包含一些HTML和JS代码,这些代码来自第三方网站,可能包含试图从我的网站窃取cookie的恶意代码。
我在我的网站上使用以下代码在我的网站上预览。
<iframe id='fff' />
var iframe = document.getElementById('fff'),
iframedoc = iframe.contentDocument || iframe.contentWindow.document;
iframedoc.body.innerHTML = third_party_code;
要针对XSS进行测试,我尝试了以下代码
iframedoc.body.innerHTML = '<script>alert(parent.document.cookie);</script> ';
代码不会弹出任何消息框。那么,我可以假设我的网站不受XSS攻击或者我错过了什么吗?