【问题标题】:How does Tumblr implement their global navigation?Tumblr 如何实现其全球导航?
【发布时间】:2015-02-25 20:00:26
【问题描述】:

Tumblr 上的每个博客的页面右上角都有这两个按钮:

此全局导航位于指向 tumblr.com 的 iframe 内。

Tumblr 如何安全地实现此功能? Tumblr 主题可以包含不受信任的脚本,并且 tumblog 可以在自定义域(即不仅仅是 *.tumblr.com)上运行。

我假设 Tumblr 采取措施确保导航 iframe 的会话 cookie 不会暴露给嵌入它的博客。这些措施是什么?

另外,Tumblr 是否将可以嵌入导航 iframe 的域列入白名单?

【问题讨论】:

  • 跨域资源共享、HTTP 访问控制、CORS、.. iframe 内容仅对同源或同域可用。

标签: javascript security iframe xss tumblr


【解决方案1】:

iframe 解决方案似乎是唯一可行的方法,否则就无法携带 Tumblr 会话 cookie,在自定义域博客的情况下。

此外,在安全性方面没有太多需要考虑的问题。浏览器不允许任何脚本访问 iframe 的内容,因为域不同。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-09-15
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-03-04
    相关资源
    最近更新 更多