iframe跨域验证调用方
我在iframe跨域验证调用方,iframe,cross-domain,Iframe,Cross Domain,我在a.com上有一个页面,其中有一个iframe,其“src=“位于B.com上。 例如,src=”http://B.com/index.asp?123456“ 查询字符串123456是分配给域a.com的客户端密钥。 index.asp使用键进行数据库查找以标识域 我如何确保打电话的是a.com上的一个页面 我想传递location.host,但这是可以被黑客攻击的。 也就是说,C.com可以通过将location.host更改为B.com来表示:它是B.com (显然,location.h
a.com
上有一个页面,其中有一个iframe,其“src=“
位于B.com
上。
例如,src=”http://B.com/index.asp?123456“
查询字符串123456
是分配给域a.com
的客户端密钥。
index.asp
使用键进行数据库查找以标识域
我如何确保打电话的是a.com
上的一个页面
我想传递location.host
,但这是可以被黑客攻击的。
也就是说,C.com
可以通过将location.host
更改为B.com
来表示:它是B.com
(显然,location.host
是通过JavaScript确定的。)
除了iframe,我可以在
A.com
上使用其他HTML代码。您可以使用postMessage并验证事件对象上的源代码。但是,在涉及安全性的情况下,您不应该依赖任何客户端验证。只要在任何开发工具中的post message回调上添加断点,就可以轻松绕过此方法。我推测postMessage是HTML5,并不适用于所有浏览器。但是,正如你所说,它可以被黑客攻击