Как из iframe запретить доступ к родительскому окну?

Question

[Ст. Ку.]

А?
Чтоб вот такие вещи не работали
window.parent.document.write("<h1>Текст</h1>")

У меня вот такая конструкция<iframe srcdoc="' + переменная + '"> . Может быть из переменной вырезать "parent"? Без какого слова нельзя будет пробраться к родителю? Спасибо.

Answer 1

[Котик Антон]

Влиять на родителя могут только iframe с того же домена. Вы хотите запретить сами себе?

Comments

[Ст. Ку.]

У меня вот такая конструкция iframe srcdoc=" переменная" . Может быть из переменной вырезать "parent"? Без какого слова нельзя будет пробраться к родителю? Спасибо.

[Ст. Ку.]

Да, у меня люди могут создавать iframe, хочу запретить им ломать всю страницу.

[Котик Антон]

Станислав Кукаев: Размещайте их iframe на другом домене. Иначе все что можно придумать легко обходится.

[Ст. Ку.]

27cm: у меня код людей пишется в iframe , чтоб они хулюганили. Т.е. не src = "url", а srcdoc ="код". У меня не получится на другой домен. Мне нужно, чтоб люди вставляли код в свой пост.

Answer 2

[dsmitnov]

Никак если домен один и тот же, в iframe нет параметров даже близко похожих на назначение прав.

Comments

[Ст. Ку.]

Там в вопросе srcdoc= код, а не src = url.
там вопрос ещё: "какие слова нужно вырезать из кода, чтоб нельзя было пробраться к родителю? например, "parent", "top", "window", "document"

[Котик Антон]

Станислав Кукаев: Какие слова не вырезай, это легко обходится. Кроме того эти слова могут быть использованы не только для доступа к родительскому окну.

[Ст. Ку.]

27cm: Да, уже понял, придётся как-то отсылать на другой домен и подтягивать от туда. Придумаем что-нибудь.

[Ст. Ку.]

27cm: копаю jsfidle у них как-то там хитро. Просто iframe создают без url и кода, а потом в него записывают html, но я ещё не поял как. У codepen тоже так