Question

基本上我有一个跨域iframe，并且无法启用allow-scripts标志，但与此同时，我需要获取iframe文档中<script>标记中的postMessage或访问iframe contentDocument。

我尝试过：

let iframeElement = document.getElementsByTagName('iframe')[0];
let iframeContent = iframeElement.contentDocument
console.log(iframeContent)

但是使用沙盒标志，我只会得到null的回报。

我需要做的是以下三个选项之一：

将事件监听器添加到包含iframe contentDocument的标签中
获取同样位于iframe contentDocument内的attr值
一种从原始页面发送JSON并使用iframe（postMessage）在页面中获取此JSON的方法

但是所有这一切都没有allow-scripts标志，这是我想要归档的吗？

Answer 1

要引用部分问题，

我需要获取iframe文档中<script>标签中的postMessage

如果您表示需要 put 或 inject 一个包含postMessaging的<script>标签，那么恐怕是不可能的，因为{{ 3}}会阻止它。

但是，如果您要尝试获得访问或收听从交叉链接中的<script>标签广播的same-origin policy原先的iframe，然后是，这正是postMessage旨在实现的目标。前提是您的消息事件侦听器托管在postMessage的targetOrigin参数中定义的来源上。

PostMessage本质上是一种信任契约，可以克服跨域障碍。通过拥有...

访问和许可创作iframe的内容
被托管在定义的targetOrigin（推荐）上，或者被放置在任何来源（如果{{ 1}}具有通配符“ *”值（不推荐）

postMessage

Answer 2

简单的答案是否。

具有其sandbox属性的限制了脚本的使用，不能执行脚本。因此，您将无法从此iframe的上下文中调用<code>postMessage()</code>，也无法向事件侦听器触发回调。</p> <p>现在，由于您的文档不满足跨域策略，您将陷入困境，无法从外部与<iframe>的文档进行交互。</p> <hr /> <p>如果必须使用此功能，唯一的解决方法是将服务器用作代理，以便由您自己的服务器实际获取iframe的内容并为其提供服务。 </p> <p>通过这种方式，不再存在跨域问题（如果您在iframe上添加了<code>allow-same-origin</code>策略），就可以从父级文档访问iframe的内容，甚至可以添加事件监听器，甚至尽管仍然无法从<iframe>的上下文运行脚本，但是所有操作都将从主文档的上下文运行。（这意味着<iframe>仍然没有<code>postMessage()</code>。</p> </div> </div> </div> <div class="right"> <div style="height:400px"> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6263610230477973" data-ad-slot="2820756182" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div style="height:20px"></div> <div class="releated-question-wrapper"> <div class="header"> 相关问题 </div> <div class="hr-line-dashed"></div> <ul> <li> <a href="/q/5094343">是否可以使用postMessage将函数发送到另一个窗口而不必评估它？</a> </li> <li> <a href="/q/30616662">可以在TIdTCPClient中发送RST标志吗？</a> </li> <li> <a href="/q/35208161">在<iframe>上使用sandbox =“allow-scripts allow-popups allow-same-origin”是否安全？</a> </li> <li> <a href="/q/37396094">对于任何iframe，不允许使用allow-scripts的allow-top-navigation是安全的吗？</a> </li> <li> <a href="/q/37838875">从沙盒iFrame到主窗口的PostMessage，origin始终为null</a> </li> <li> <a href="/q/44565959">javascript - postMessage to sandboxed iframe，为什么收件人窗口来源为null？</a> </li> <li> <a href="/q/47227482">如何只允许列入白名单的资源（脚本，像素等）在沙盒iframe中运行？</a> </li> <li> <a href="/q/48155297">从沙盒iframe到父级的IE PostMessage</a> </li> <li> <a href="/q/53278782">是否可以将Google登录隔离到沙盒iFrame中？</a> </li> <li> <a href="/q/53642613">是否可以在没有“ allow-scripts”标志的情况下将postMessage发送到沙盒iframe？</a> </li> </ul> </div> <div class="releated-question-wrapper"> <div class="header"> 最新问题 </div> <div class="hr-line-dashed"></div> <ul> <li> <a href="/q/68614764">我写了这段代码，但我无法理解我的错误</a> </li> <li> <a href="/q/68614678">我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？</a> </li> <li> <a href="/q/68614175">是否有可能使 loadstring 不可能等于打印？卢阿</a> </li> <li> <a href="/q/68614313">java中的random.expovariate()</a> </li> <li> <a href="/q/68614125">Appscript 通过会议在 Google 日历中发送电子邮件和创建活动</a> </li> <li> <a href="/q/68615109">为什么我的 Onclick 箭头功能在 React 中不起作用？</a> </li> <li> <a href="/q/68615123">在此代码中是否有使用“this”的替代方法？</a> </li> <li> <a href="/q/68614097">在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化</a> </li> <li> <a href="/q/68614427">每千个数字得到</a> </li> <li> <a href="/q/68615239">更新了城市边界 KML 文件的来源？</a> </li> </ul> </div> <div class=""> </div> </div> </div> <div> <script> var host = window.location.host; if (host == "www.thinbug.com") { (function () { var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })(); } </script> </body> </html>

是否可以在没有“ allow-scripts”标志的情况下将postMessage发送到沙盒iframe？

2 个答案: