日期:2014-05-16  浏览次数:20356 次

跨域代理页执行Javascript控制TOP窗体dom,安全问题.
各位好,近期我在工作中遇到这么一个问题:

在一个b/s软件系统后台嵌入一个跨越的iframe来推送和软件有关的官方信息。

但由于软件系统可能会在局域网部署,所以就遇到iframe出现404的错误页面,体验很不好。

————

我的解决方法是:

1.嵌入到软件端的iframe(FRM01)默认visibility :hidden;
2.软件端建立接收代理页请求接口,并再将此接口url带入(FRM01) src的get参数。
3.在(FRM01)中再嵌入一个代理iframe(FRM02)
4.当(FRM01)成功被加载时,把需要执行的脚本字符POST方式提交到(FRM02)软件端接口,软件端直接echo脚本。
[形成同域,脚本中可直接用top.document控制软件端dom]


遇到的问题:

---safari浏览器的默认安全策略会禁止脚本的执行。---

此问题纠结好久,最终测试发现 safari浏览器会判断POST请求中是否有包含response脚本代码块。如果有,则会被安全策略禁止。

那么简单的解决办法就是把post请求过去的脚本代码编码(base64),在软件接口端解码echo输出。问题被解决!



——————

这样的实现细心的朋友可以发现,在嵌入官方的那个iframe中可以放入任意javascript 代码,被客户端请求执行。

————————


关于安全上面我考虑的不多,不知道有没有什么隐患?请各位讨论。