假设我允许开发人员在隐藏的Web浏览器中打开任何URL(本地或远程),开发人员只能从Web浏览器接收常见事件,例如:文档完成,导航,导航错误等。
我不知道有任何安全问题吗? 我认为同源安全政策涵盖了我的担忧,但是,与其他人协商并听取其他人的担忧总是好的。
顺便说一句
在某些情况下,我需要这种机制,通过导航到登录页面并拦截页面重定向到成功URL来检测用户是否已登录(我不想打开弹出窗口1秒然后立即关闭它)。 / p>
答案 0 :(得分:0)
您将遇到跨域限制。除此之外,框架页面可以轻松地将用户引导到另一个站点,例如:
<script>
if(top != self) top.location.href = this.location.href;
</script>
嗯,这对你来说只是一种烦恼。但请考虑:
<script>
if(top != self) top.location.href = "http://evilsite.com/getviruses/";
</script>