对于我们的论文,我们需要开发AdJail方法的原型,以提供针对恶意广告的安全性。该方法通过将广告脚本放置在具有不同来源的iframe中的“shadowpage”中来隔离广告脚本。 (受同源策略保护)通过将原始页面的内容复制到shadowpage,adscript只能访问发布者允许访问的内容。
问题在于为shadowpage创建iframe。 最初,我们实施了这个:
if (document.createElement && (iframe = document.createElement('iframe'))) {
iframe.id = "shadowpage";
iframe.name = "shadowpage";
iframe.height = 1400;
iframe.width = 1400;
document.body.appendChild(iframe);
var shadowScript = document.createElement("script");
shadowScript.src = "ShadowTunnelScript.js";
iframe.contentDocument.body.appendChild(shadowScript);
adUrl = adScript;
}
显然,这不提供相同原始策略的请求安全性,因为此iframe与包含页面具有相同的来源。
我们的替代方案如下,将iframe的src设置为具有不同来源的页面:
if (document.createElement && (iframe = document.createElement('iframe'))) {
iframe.id = "shadowpage";
iframe.name = "shadowpage";
iframe.height = 1400;
iframe.width = 1400;
iframe.src = "http://***/AdJail/Shadowpage.html";
//iframe.style.display = "none";
document.body.appendChild(iframe);
}
但在这种情况下,我们原型的用户需要在不同的服务器上自己创建一个shadowpage。
我们的问题是:是否可以创建具有不同来源的iframe,动态生成此iframe的内容,以便用户只需要调用库而无需自己提供shadowpage。
这可能是首先生成iframe的内容然后以某种方式改变iframe的来源吗?
答案 0 :(得分:0)
您可以尝试将值设置为document.domain或将iframe内容设置为datauri:
var content=window.btoa('<html>(..)<script>document.domain='sandbox';</script></html>');
iframe.src = "data:text/html;base64,"+content;