javascript - Tumblr 如何实现全局导航?

标签 javascript security iframe xss tumblr

Tumblr 上的每个博客的页面右上角都有这两个按钮:

Tumblr

此全局导航位于指向 tumblr.com 的 iframe 内。

Tumblr 如何安全地实现此功能? Tumblr 主题可以包含不受信任的脚本,tumblog 可以在自定义域上运行(即不仅仅是 *.tumblr.com)。

我认为 Tumblr 会采取措施确保导航 iframe 的 session cookie 不会暴露给嵌入它的博客。这些措施是什么?

此外,Tumblr 是否将可嵌入导航 iframe 的域列入白名单?

最佳答案

iframe 解决方案似乎是唯一可能的方法,否则在自定义域博客的情况下将无法携带 Tumblr session cookie。

此外,在安全性方面也无需考虑太多。浏览器不允许任何脚本访问 iframe 的内容,因为域不同。

关于javascript - Tumblr 如何实现全局导航?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28728481/

上一篇:javascript - 仅顶级列表项

下一篇:javascript - 如何隐藏剑道网格命令编辑按钮或删除按钮?

相关文章:

javascript - 在父级的 iframe 中打开链接/更具体的 "_parent"

javascript - 使用 Nightwatch,如何从 ELEMENT 实体获取 DOM 元素及其属性?

security - 如何检测 Cheat Engine ?

javascript - 防止 iframe 更改父位置

javascript - iframe 内容并不总是加载

php - PHP 执行安全吗?

javascript - Angular "Cannot read property ' then' 的未定义"with Promise

javascript - 了解这段 javascript 代码的输出

javascript - 尝试动态创建一个 div 并将其居中

android - 使用应用程序签名作为 key ?

©2024 IT工具网  联系我们