>웹 프론트엔드 >JS 튜토리얼 >Webkit의 도메인 간 보안 문제 설명_javascript 기술

Webkit의 도메인 간 보안 문제 설명_javascript 기술

WBOY
WBOY원래의
2016-05-16 18:02:271132검색

다음은 간단한 테스트 페이지입니다. IE와 Firefox에서 "hello world" 팝업이 표시되지만 Chrome, Safari 및 Opera에서는 응답이 없습니다.
다음은 작은 테스트 코드입니다(상위 페이지와 하위 페이지가 서로 다른 도메인 페이지가 되도록 의도적으로 도메인을 수정함).
1. 상위 페이지 코드:

코드 복사 코드는 다음과 같습니다.

<script> "nunumick.me"; <br>function doTest( ){ <br>alert('hello world') <br>} <br></script> www.nunumick.me/lab/x-domain/ webkit-test.html">



2. 하위 페이지 코드:

<script> <div class="codebody" id="code98221">top.name; <br>}catch(e){ <br>document.domain = 'nunumick.me' <br>top.doTest() <br></script>


위 코드의 목적은 접속을 시도하는 것입니다. 예외가 발생하면 원활한 접속을 위해 도메인을 동적으로 수정하지만, 웹킷 커널 브라우저는 차단할 수 있는 예외를 발생시키지 않고 무례하게 오류를 보고합니다. , 기타 브라우저는 예상대로 실행됩니다.

크롬 오류 메시지:



안전성 타당성 판단을 위해 이러한 유형의 Try catch 방법을 사용하는 것은
DOJOWebkit의 도메인 간 보안 문제 설명_javascript 기술


코드 복사

코드는 다음과 같습니다. try{ //iframe의 위치에 액세스할 수 있는지 확인하세요 //권한 거부 오류 없음
var iframeSearch = _getSegment(iframeLoc.href, "?")
//좋음, iframe이 동일한 출처입니다(예외 발생 없음)
if(document.title ! = docTitle){
// 기본 창 제목을 iframe 제목과 동기화합니다.
docTitle = this.iframe.document.title = document.title
}
}catch(e){
//권한 거부됨 - 서버에 연결할 수 없습니다.
ifrOffline = true; console.error("dojo.hash: 기록 추가 중 오류가 발생했습니다.
서버에 연결할 수 없습니다.")


다시 예를 들어
FCKeditor




코드 복사
코드는 다음과 같습니다. : "top"이 다른 도메인에 있는 프레임에 있을 것입니다(보안 오류). >

네티즌들의 피드백도 많습니다:
크롬 버그 신고


위 코드는 크롬, 사파리, 오페라에는 적용되지 않습니다. 몇 가지 정보를 확인하고 여기에 기록했습니다:
1.
html5 보안 위치

2.

웹킷 개발자 목록웹킷 개발자들의 토론 메시지에서 볼 수 있듯이, 그들은 이 문제를 인정하지만 그것을 고치려고 하지 않습니다. 젠장!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:JavaScript_javascript 기술의 call() 메소드에 의해 트리거되는 객체지향 상속 메커니즘 호출에 대한 생각다음 기사:JavaScript_javascript 기술의 call() 메소드에 의해 트리거되는 객체지향 상속 메커니즘 호출에 대한 생각

관련 기사

더보기