iframe跨域验证调用方_Iframe_Cross Domain

iframe跨域验证调用方

iframe

iframe跨域验证调用方,iframe,cross-domain,Iframe,Cross Domain,我在a.com上有一个页面，其中有一个iframe，其“src=“位于B.com上。例如，src=”http://B.com/index.asp?123456“ 查询字符串123456是分配给域a.com的客户端密钥。 index.asp使用键进行数据库查找以标识域我如何确保打电话的是a.com上的一个页面我想传递location.host，但这是可以被黑客攻击的。也就是说，C.com可以通过将location.host更改为B.com来表示：它是B.com （显然，location.h

我在

a.com

上有一个页面，其中有一个iframe，其

“src=“

位于

B.com

上。例如，

src=”http://B.com/index.asp?123456“

查询字符串

是分配给域

a.com

的客户端密钥。

index.asp

使用键进行数据库查找以标识域

我如何确保打电话的是

a.com

上的一个页面

我想传递

location.host

，但这是可以被黑客攻击的。也就是说，

C.com

可以通过将

location.host

更改为

B.com

来表示：它是

B.com

（显然，

location.host

是通过JavaScript确定的。）

除了iframe，我可以在

A.com

上使用其他HTML代码。

您可以使用postMessage并验证事件对象上的源代码。但是，在涉及安全性的情况下，您不应该依赖任何客户端验证。只要在任何开发工具中的post message回调上添加断点，就可以轻松绕过此方法。

我推测postMessage是HTML5，并不适用于所有浏览器。但是，正如你所说，它可以被黑客攻击