Javascript iframe能否访问主窗口对象[如登录令牌]?
我有一个主窗口[父窗口]和一个来自第三方的Iframe。 我在我的主窗口中定义了一些全局常量,它保存了诸如登录令牌之类的机密信息。我的主窗口和iframe之间也有双向消息通信 iframe窗口能否从主窗口访问我的其他全局常量?Javascript iframe能否访问主窗口对象[如登录令牌]?,javascript,dom,iframe,Javascript,Dom,Iframe,我有一个主窗口[父窗口]和一个来自第三方的Iframe。 我在我的主窗口中定义了一些全局常量,它保存了诸如登录令牌之类的机密信息。我的主窗口和iframe之间也有双向消息通信 iframe窗口能否从主窗口访问我的其他全局常量? 如果可以访问,如何保护它们?我假设主窗口是包含iframe的父窗口。如果要将机密信息附加到窗口对象,则可能不安全 子iframe可以通过window.top访问父窗口 // in parent window window.confidentialInfo = "
如果可以访问,如何保护它们?我假设主窗口是包含iframe的父窗口。如果要将机密信息附加到
窗口window.top// in parent window
window.confidentialInfo = "foo";
// in iframe
console.log(window.top.confidentialInfo);
// prints "foo"
否则,没有更多信息就很难说。yes主窗口是父窗口,其中包含iframe。不,我没有将令牌附加到窗口对象,而是将其保存为单独的全局常量。那么,只要您不在双向消息通道中的某个位置公开它们,我认为这会很好。我猜只要iframe是从不同的域提供的。见: