Chrome扩展程序:在Facebook上绕过框架限制

时间:2016-06-18 17:25:30

标签: javascript facebook iframe google-chrome-extension xss

我正在开发名为Web Panel的扩展程序(实际上它是Opera扩展程序,但API与Chrome中的API相同)。基本上,它允许用户在iframe中查看网页。问题是许多站点不希望发生这种情况,例如使用x-frame-options。我已经使用了这个解决方法:Getting around X-Frame-Options DENY in a Chrome extension?,但问题是它不适用于所有网站,例如facebook。我也试图删除content-security-policy标题,这实际上使它在github上运行,但仍然不在facebook上。

所以,我的三个想法是:

  • 我应删除哪个标题才能使其正常工作?
  • 现在我正在使用chrome.webRequest.onHeadersReceived。是不是我必须使用chrome.webRequest.onBeforeSendHeaders来删除任何标题?
  • 或Facebook是否正在使用其他方法来执行此操作?我知道他们只需通过window == window.top来检查窗口是否处于顶级,然后根据条件加载内容。我可以以某种方式修改窗口变量吗?

0 个答案:

没有答案