Javascript Don'；不要让家长网站从我的iFrame获取信息

我必须制作一个iFrame来管理用户的敏感信息。我需要父页面不能从中获取信息。你能推荐我什么来实现这个目标？。我已经看到了如何混淆我的javascript代码，但这还不够，我需要能够从网站访问用户将填充的某些字段中的某些iFrame值

例如，我尝试制作自己的框架和web来测试安全性，如果我将其放到web上： iFrameName.document.getElementById（“idTextField”）.value； 我得到了客户填写的文本，这是我想要阻止的，网络不可能（或非常困难）获得我在iFrame中的字段数据

谢谢大家

---

顺便说一下，即时通讯使用HTML、JS和PHP，所有现代浏览器都会阻止网站获取不属于它的iframe内容。这是防止黑客攻击的安全功能

例如，如果您登录到银行的网站，然后转到iframe中包含您的银行的另一个网站，则您可能会在iframe中看到银行页面，但第三方网站仍无法读取该页面

此外，由于许多站点（包括StackOverflow），您的银行可能甚至不会出现在框架中

假设您的iframe与包含它的应用程序不在同一个域中，并且它不需要与其他应用程序通信，那么您不需要做任何特殊的事情

如果确实需要在不同域中的窗口/帧之间进行通信，则可以使用在它们之间传递数据。API将允许您决定如何使用消息，同时保留对页面的控制权。（Protip：不要评估传递的消息。

由于Javascript中的同源策略，如果两者（父对象和iFrame）位于不同的域中，则从Javascript访问iFrame是不可能的

因此，iframe.contentWindow.document将是内部文档。 如果iframe和父级都来自一个域/主机/端口，则可以从父级窗口访问或修改它（安全限制将在下一节中详细讨论）。”

---

Text From:

如果父页面来自不同的域，则它已经不可能访问iframe内容。但请参见我刚才提出的问题示例。我不知道，如果不可能获得信息，为什么它会继续工作。谢谢，您的示例涉及来自同一域的两个URL。浏览器将允许这样做，因为它假定它是正常的。当您的iframe位于来自不同URL的页面中时，浏览器将不允许它。我一直在想，这只会阻止窃取数据的“简单”方式，如果您只是让自己的浏览器类型应用程序请求数据，您仍然可以获得数据，因为浏览器是决定停止数据检索的对象。所以你说，如果他们使用此代码创建iFrame，在他们的页面中，他们无法获取iFrame中的字段值？是的，我需要与他们沟通，但为此我看到了“安全跨域iFrame通信”，我认为它将解决这个问题@user2540080如果我理解这个问题，你说的是不同的东西。如果您假定恶意代理可以在您的页面上放置任意内容，那么您无法控制发生的情况。确保对任何动态内容进行了清理。至于您的安全通信，您发布的库似乎尚未在较新的浏览器中进行测试。我想看看你能不能改成：@pathurs是的，但要利用这一点，黑客必须说服某人下载一个假的浏览器并用它登录到一个安全的网站。在这一点上，违反跨域策略没有任何好处。