【发布时间】:2015-02-25 20:00:26
【问题描述】:
Tumblr 上的每个博客的页面右上角都有这两个按钮:
此全局导航位于指向 tumblr.com 的 iframe 内。
Tumblr 如何安全地实现此功能? Tumblr 主题可以包含不受信任的脚本,并且 tumblog 可以在自定义域(即不仅仅是 *.tumblr.com)上运行。
我假设 Tumblr 采取措施确保导航 iframe 的会话 cookie 不会暴露给嵌入它的博客。这些措施是什么?
另外,Tumblr 是否将可以嵌入导航 iframe 的域列入白名单?
【问题讨论】:
-
跨域资源共享、HTTP 访问控制、CORS、.. iframe 内容仅对同源或同域可用。
标签: javascript security iframe xss tumblr