Html 如果域A具有域B的iframe，而域B具有域A的iframe，那么域A可以访问域B的cookie吗？_Html_Security_Iframe_Cross Domain

Html 如果域A具有域B的iframe，而域B具有域A的iframe，那么域A可以访问域B的cookie吗？

html security iframe

Html 如果域A具有域B的iframe，而域B具有域A的iframe，那么域A可以访问域B的cookie吗？,html,security,iframe,cross-domain,Html,Security,Iframe,Cross Domain,我记得读过一篇关于域A能够控制域B的文章，如果域B中有一个辅助框架的话。我有像StumbleUpon这样的页面，我把其他网站放在iFrame中。如果其中一个网站将我的页面放在iframe中怎么办？此外，Facebook的like按钮和Twitter的Tweet按钮都是iFrame。哪些数据可以/不可以访问？他们能将脚本注入我的页面吗？这不能解决您的问题。仅仅因为他们嵌入了你网站的iframe，并不意味着你的网站可以更好地访问其他网站中的cookie、脚本等。你的网站不能访问iframe中的其他

我记得读过一篇关于域A能够控制域B的文章，如果域B中有一个辅助框架的话。我有像StumbleUpon这样的页面，我把其他网站放在iFrame中。如果其中一个网站将我的页面放在iframe中怎么办？此外，Facebook的like按钮和Twitter的Tweet按钮都是iFrame。哪些数据可以/不可以访问？

他们能将脚本注入我的页面吗？

这不能解决您的问题。仅仅因为他们嵌入了你网站的iframe，并不意味着你的网站可以更好地访问其他网站中的cookie、脚本等。

你的网站不能访问iframe中的其他域，而其他域也不能访问你的网站。但是，如果iframe与父对象位于同一个域中，则可以通过javascript访问它

请在此处阅读更多信息：

编辑：这里有一些更好的读物

Edit2：关于你对Facebook Like按钮等的问题，这取决于你如何将Like按钮添加到你的页面。如果您通过内联javascript添加它，javascript将可以访问您站点上的所有内容。但是，如果它只是一个插入到文档中的iframe，它将无法访问您页面上的任何内容

否，则它们无法访问其他cookie域

无论在何处隐藏具有不同域的iframe，浏览器都将始终发送为该特定域设置的Cookie

可以使用

Referer

标题创建Like按钮

说，

http://domainA.com/index.html

包含

 <iframe src="http://domainB.com/like.html"></iframe>

否，禁止访问：除非两个文档具有相同的源（URL中基本相同的协议、主机和端口号），否则在源中运行的脚本无法访问另一个文档的DOM，除非它位于相同的源中

但这些“社交插件”通常是通过从服务器加载外部脚本嵌入的。在这种情况下，将加载外部脚本，然后在页面的原始位置执行。因此，同一原产地政策不适用。在这种情况下，这些脚本将能够访问JavaScript可以访问的任何cookie（即没有HttpOnly标志）。

使用iFrame对cookie SOP模型没有影响。但是，如果你的站点可以加入到别人的站点中，你可能想考虑如何处理<代码>点击劫持> <代码>攻击。

 <p>This page is viewd 
 <iframe 
      src="http://tools.cmyweb.net/hitcounter.php" 
      frameborder="0" 
      scrolling="no" 
      width="40px" 
      height="16px" 
 />1</iframe> times</p>