0
幾天前,我發現這個網站:http://hsmaker.com/ 我注意到它適用於任何http網站(我檢查了大約50個常見網站)。 它將url的內容提取到一個iframe中,然後我假設它會操縱DOM對象,添加一些js運動效果。iframe xss保護不同的域名
我想做同樣的事情(一個應用程序有點更有用),但不應該以某種方式禁止這種行爲? 我的意思是我已經嘗試過操作DOM對象,但,下面的代碼不爲我工作(但他可以獲取HTTP google.com - 沒有使用https):
<!DOCTYPE html>
<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body>
<iframe style="width:100%; height:800px;" src="http://www.google.com"></iframe>
</body>
</html>
附:如果目標網站在https上,整個故事會發生變化嗎?