iframeから親フレームにアクセスできないようにするにはどうすればよいですか？

Question

iframeを持つページがあります。ページとiframeのソースは異なるドメインにあります。 iframeの中で、私はCuteEditorというリッチテキストエディタを使用しています（それはとてもかわいいと判明しています）。 CuteEditorには「ドキュメント」にアクセスしようとする特定のJavaScript関数がありますが、ブラウザは同じドメインにないためアクセスを拒否しています。それはminfiedとすべての変数名は不可解ですので、難読化されていますので、問題外である

Permission denied to access property 'document' http://dd.byu.edu/plugins/cuteeditor_files/Scripts/Dialog/DialogHead.js Line 1

ジャバスクリプトの編集：

はここで正確なエラーです。

これは作業プロジェクトであり、これは私が使用するように言われているエディタですので、別のエディタを使用することは現在のところ不安です。

iframeを内蔵したままにする方法はありますか？だから、iframe内のすべてを行い、親フレームに飛び出そうとしませんか？

Answer 1

あなたはそのことについて心配する必要はありません。

iframeがcross-originを話す唯一の方法は、postMessageです。これは、そのドメインを直接聞いている場合にのみ可能です。

https://developer.mozilla.org/en/DOM/window.postMessage

Answer 2

子はiframeが別のドメインからロードされた場合、親ページやDOMにアクセスすることはできません。

ただし、man-in-the-middle攻撃には次のような脆弱性が存在します。 http://yoursite.com離れてあなたのページの負荷を仮定とiframeがhttp://badsite.org

• 最初http://badsite.orgに行くと、これは、man-in-the-middle攻撃を必要とするステップであるhttp://yoursite.com/badpage

• にリダイレクトします。攻撃者は、ユーザーとyoursite.comの間を行き来するか、またはDNSルックアップに対する回答を制御できる必要があります。これは簡単に聞こえます。パブリックWiFiアクセスポイントを管理できる人は誰でも（スターバックス、ホテル、空港を考えてみてください）、実際のサイトではなく攻撃者のサイトからhttp://yoursite.com/badpageのコンテンツを配信することです。

• 攻撃者は、（偽の）http://yoursite.org/badpageから好きな悪意のあるコードを提供することができます。これはメインページと同じドメインにあるため、親DOMにアクセスできます。

HTML5 iframeサンドボックスの属性がこれを回避する方法のようです。 specを読むことができますが、最も適切な説明はhereです。

これはChrome、IE10、FireFox、Safariでサポートしているようです。

「allow-same-origin」属性がではなく、に設定されている場合、「コンテンツは固有の起源のものとして扱われます」という仕様があります。これにより、ブラウザがURLを何と考えているかに関係なく、子供のiframeが親のDOMの一部にアクセスできなくなります。