我可以在跨域 iframe 中安全地使用 HTML5 History API 吗？

Question

我有一个用户 HTML 5 History（pushState 等）的 Web 应用程序。我希望这个应用程序可以在跨域 iframe 中加载（有点像 FB 或 Twitter iframe）。可以将 HTML 片段（带有必要的 iframe 标签）插入到任何页面中，并且该页面将包含我的应用程序的 iframe 版本。例如，如果我的 Web 应用程序位于 app.mywebapp.com，aRandomWebsite.com 可能具有以下 HTML 结构

<html>
    <head>
    </head>
    <body>
        <iframe src="https://app.mywebapp.com/"></iframe>
    </body>
</html>

我知道in the past，跨域 iframe 并不完全相互隔离，并且可能会相互混淆某些变量，例如 window.location。我的问题是，如果我在 iframed 应用程序中执行以下代码，父框架（可能非常敌对）是否能够偷看它？

window.history({}, '', 'aSecureRoute/thisIdIsVerySensitive');

Answer 1

这应该是安全的，因为跨域 DOM 访问受 Same Origin Policy 保护。

也就是说，在流行浏览器的未来版本中，www.evil.com 或test URLs 可能存在一些怪癖，这完全取决于未来会发现哪些漏洞。由于您无法解决未来的浏览器错误，我建议您在此访问应该受到保护的基础上继续进行。如果发现任何漏洞，您可以指导您的用户使用其他浏览器，直到他们当前的浏览器得到修复。

请记住，URL 不应被视为安全，因为它们可以存储在浏览器缓存或历史记录（或添加书签）中，也可以由代理记录（如果不受 HTTPS 保护）或存储在服务器日志中。

您还应该使用其他东西（例如安全会话 cookie）来保护您的安全 URL，因此如果恶意网站抓取了它，那么如果没有 cookie，它就无法在未来使用它。