IFRAME安全问题中的Java脚本

Question

在网站http://imaginaryman-test.blogspot.com/上，打字机位于IFAME内部。当您直接访问网站时，所有浏览器都能正常工作http://castedspell.com/mark/，但是当查看嵌入在IFRAME中的版本时，它不适用于IE并在Chrome中引发错误。

不安全的JavaScript尝试访问来自具有URL http://castedspell.com/mark/的帧的URL http://imaginaryman-test.blogspot.com/的帧。域，协议和端口必须匹配。

这是嵌入式IFRAME https://github.com/totheleftpanda/typeWrite/tree/master/mark

我理解的源代码，这是一个安全问题，但我不`吨知道如何解决它并不能找到，这将有助于我解决问题的任何材料。

Answer 1

最简单的方法是设置一个PHP（或任何服务器语言）代理，只从其他域获取页面内容并将其输出。唯一的缺点是远程域客户端的cookies不会被发送。

Answer 2

我以前有过类似的问题。基本上，如果您的iframe包含来自与主页的域不同的域的页面，则javascript将无法跨越它们之间的边界。 iframe中的Javascript将能够在iframe中进行通话，主页面中的javascript将能够在主页面内进行通话，但它们将无法相互通话。

这是一个旨在阻止跨站脚本攻击的安全问题。有很多黑客可以用来解决这个问题，但他们都是（或者至少我所知道的）相当多毛。

这里有一些问题，你应该设法进一步走之前回答：

1）究竟是你想使用JavaScript的网页之间做什么？
2）您是否有权访问这两个页面的源代码？

Answer 3

你唯一的机会就像easyXDM。 （或做手工使用散列，但我们更希望easyXDM）

见SO回答：Cross-domain hash change communication

如。如果你想调用一个方法：
http://easyxdm.net/wp/2010/03/17/remote-procedure-calls-rpc/

编辑：

如果我尝试在Firefox中的演示中，我不明白“不安全JavaScript尝试访问”错误的。但是在Chrome中它会抛出很多次。
你的例子中有太多的其他代码，我甚至不知道你的代码导致了这个问题。你应该做一个非常有限的/基本的测试，看看你的Flash通信是否有效，没有所有其他的JavaScript。

Answer 4

看看http://benalman.com/projects/jquery-postmessage-plugin/。这是一个在两个框架之间发送消息的jquery插件。这两个框架不需要在同一个域上。但是您确实需要访问这两个页面才能修改它们。我也在这里写了一篇文章，回答iframe之间的沟通。 How to capture clicks from iframe on another domain?

Answer 5

它可能比上述答案简单。它看起来像这样的功能：

function playSound(){ 
    swf.playSound(); 
} 

写在DOM时间表之前SWF实际分配给它下面的功能SwfObject的。

我建议将该功能进一步降低，然后重新测试。