Javascript 使用iframedoc.body.innerHTML XSS创建的iframe是否安全？_Javascript_Iframe_Cookies_Xss

Javascript 使用iframedoc.body.innerHTML XSS创建的iframe是否安全？

javascript iframe cookies

Javascript 使用iframedoc.body.innerHTML XSS创建的iframe是否安全？,javascript,iframe,cookies,xss,Javascript,Iframe,Cookies,Xss,我有一个字符串，其中包含一些来自第三方网站的HTML和JS代码，可能包含试图从我的网站窃取cookie的恶意代码我在我的站点中使用以下代码在我的站点上预览它 <iframe id='fff' /> var iframe = document.getElementById('fff'), iframedoc = iframe.contentDocument || iframe.contentWindow.document; iframedoc.body.innerHTML = th

我有一个字符串，其中包含一些来自第三方网站的HTML和JS代码，可能包含试图从我的网站窃取cookie的恶意代码

我在我的站点中使用以下代码在我的站点上预览它

<iframe id='fff' />

var iframe = document.getElementById('fff'),
iframedoc = iframe.contentDocument || iframe.contentWindow.document;
iframedoc.body.innerHTML = third_party_code;

为了针对XSS进行测试，我尝试了以下代码

iframedoc.body.innerHTML = '<script>alert(parent.document.cookie);</script> ';

代码没有弹出任何消息框。所以，我可以假设我的站点不受XSS攻击，或者我遗漏了什么吗？

不，基于innerHTML的脚本标记永远不会执行，但onmouseover事件会执行。。。此外，本地iframe没有被阻塞；使用dataURL、CSP或非现场回显来实施SOP。哦，无论如何也不要使用cookies，它们在21世纪并不真正需要。@dandavis-hmm。我想可能是由于相同的域策略，警报功能不起作用。我可以做些什么来避免这种情况吗？我列出了3个选项来清理您的数据。针对iframedoc.body.innerHTML=xssy的测试您可以尝试沙盒属性-请参阅