网络工具包的跨域安全问题说明

这里有个简单的测试页面：工业工程、火狐弹出你好，世界，而镀铬、狩猎、歌剧毫无反应。以下是小段测试代码（刻意修改领域，让父页面和子页面为不同域页面): 1.父页面代码：复制代码代码如下：脚本文档。=' nun umick . me function DoTest(){ alert(' hello world ')；}/script iframe src=' http :http://www。修女乌米克。me/lab/x-domain/web套件-测试。html '/iframe 2 .子页面代码：复制代码代码如下：脚本尝试{ top.name}捕获(e){ document。domain=' nun umick。“我”；顶部。DoTest()；}/脚本以上代码目的是尝试在访问异常时动态修改领域达到顺利访问，但内核内核浏览器粗暴地报错而非抛出可截获的异常，其他浏览器均如期运行铬合金。错误信息

据了解，采用此类试着接住方式做安全可行性判断的并不只是个别现象，如柔道训练学校复制代码代码如下：尝试{//查看我们是否可以在没有权限被拒绝的情况下访问内联框架的位置//错误var iframeSearch=_ GetSegment(iframeloc。href，'？');//好，iframe是同一个原点（没有抛出异常)if(document.title！=docTitle){//将主窗口的标题与内联框架的标题同步docTitle=这个。iframe。文件。标题=文档。标题；} } catch(e){//权限被拒绝-无法访问服务器ifrOffline=真添加历史条目时出错。服务器无法访问。);} 再如编辑器复制代码代码如下：尝试{ if ((/fcksource=true/i).测试(窗口。顶部。位置。search))SFile=' fckeditor。原创。html '；}捕获(e) { /*忽略它。很可能我们在阿德框架中，其中的"顶部"在另一个领域（安全错误)。*/} 还有很多网友的反馈：镀铬错误报告以上代码在镀铬、狩猎、歌剧均不适用。翻了一些资料，记录在此：1.html5安全位置2.webkit开发列表从内核开发人员的讨论消息中看到，他们承认这个问题但并不情愿去改正霍莉该死。