У меня есть некоторый javascript-контент, который я хочу поместить в «песочницу» в iframe:
Загвоздка в том, что из-за характера нашего веб-приложения мне нужно сделать это встроенным на родительской странице, содержащей iframe, и мне нужно сделать это кросс--совместимым с браузером способом.
Мне удалось добиться желаемого эффекта в Chrome, настроив содержимое в iframe с помощью URL-адреса данных:
Однако поддержка URL-адресов данных несовершенна, и это должно работать в браузере -.
Я могу иметь небезопасный контент в экранированной строке javascript, а затем записать его как содержимое iframe:
Проблема заключается в том, что как только я пишу этот контент в iframe, междоменная безопасность, -, по-видимому, больше не существует (, что означает, что doSomethingPotentiallyMalicious
функция имеет доступ ко всему в родительском окне ).
Я даже пытался изменитьdocument.domain
(удалив левый -самый домен, чтобы «www.example.com» стал «example.com» )согласно этому предыдущему сообщению SO , но это, похоже, не навязывает крест -политика домена либо:
Является ли то, что я пытаюсь сделать, даже технически осуществимым на данный момент?