Эй, люди, я работаю над веб-папой, который позволяет иметь код для вставки.
В данном конкретном случае вставка iframe добавляется на страницу вместо кода встраивания через javascript. Теперь у меня есть контроль над страницей пользователя и, поскольку я пишу содержимое iframe также из javascript, контроль над страницей iframe. Выполнение этого (в отличие от получения моего iframe с нашего сервера) позволяет нам поговорить с iframe, чтобы сделать крутой трюк.
ПРОБЛЕМА:
страница iframed все еще нуждается в аджаксе с нашего сервера. Проблемы с песочницей! Мне показалось, что решением было <script> замена src - по сути, замена нашей процедуры ajax версией с песочницей.
Мне сказали, что эта возможность большинства браузеров находится в рубке. Это правда? ужасно! Я не могу найти ничего подобного в моем (по общему признанию) кратком исследовании, и хотя я бы пошел к экспертам
- Является ли
<script> src замена жизнеспособным механизмом, чтобы осуществить эффекты типа пескоструйного прерывателя?
- Является ли
<script> SRC замена вообще жизнеспособной?
- как работают adwords? им нужно позвонить домой, верно? Как они это делают?
- Я понимаю, что скоро появившиеся кроссплатформенные материалы XHR откроют диалоги безопасности - это правда?
- Кто-нибудь может порекомендовать и другую технику взлома песочницы, которая не вызовет диалоговое окно безопасности?
(да, я знаю о проблемах безопасности - мы носим защиту и все такое)
Спасибо!