给定一个 host.html
<!doctype html> <meta charset="utf-8" /> <title>host</title> <iframe id="outer" sandbox="allow-scripts" src="https://another-site/sandbox.html" ></iframe> 其中 sandbox.html
<!doctype html> <meta charset="utf-8" /> <title>sandbox</title> <script> const inner = document.createElement('iframe'); inner.src = 'https://another-another-site/inner.html'; document.body.appendChild(inner); </script> 其中 inner.html
<!doctype html> <meta charset="utf-8" /> <title>inner</title> <script> const v = localStorage.getItem('no_such_key'); console.log('value:', v); </script> 问:试分析localStorage.getItem('no_such_key')的行为
我的回答:这大概率会抛出一个 SecurityError ,我的映像里因为 sandbox 的缘故 iframe 里面的网页浏览器是不会指定 origin 的。没有 origin 的话大概率 localstorage, session storage, index db 这一类都不可用
Follow up
- iframe src 和 iframe origin 的关系
- sandbox 里哪个属性控制这个行为?
- 在 inner html 里类似 fetch(..., { credentials: "include" })请求在哪些情况会带上 cookie
 | 1 susunus 2 月 26 日 你面试的是安全相关还是简历有这方面的说明,总之我感觉这个问题有点傻逼,平时完全用不上的冷门知识点拿来考 |
 | 2 GreatAuk 2 月 26 日 好偏门啊,但现在有 ai 了,一问一个准... |
 | 3 xiaowoli 2 月 26 日  1 考这么细的 API 有什么用呢?能让写代码的时候少看两分钟的文档吗? |
 | 4 toyst 2 月 26 日 现在有 AI 了,题都懒得看完,直接复制粘贴给 AI |
 | 5 notproblem 2 月 26 日 实际测试了: 1. sandbox.html 获取 body 会报错,因为 body 标签没有; 2. 子 iframe 的 sandbox 属性没有设置,会等于父 iframe 的 sandbox 设置,也就是只有 allow-scripts ,没有 allow-same-origin 。所以会无法访问 localStorage,直接报错。如果子 iframe 设置了 sandbox ,会和父 iframe 的 sandbox 属性取交集,得到最小的允许的权限。 |
 | 6 HeyWeGo 2 月 26 日 没接触过,我会问 AI ,并且手动验证下。反问业务上这种情况多吗? |
Select Language