Safari恶性bug(iframe与onload,alert的冲突)

最新推荐文章于 2024-09-12 12:00:06 发布
原创 最新推荐文章于 2024-09-12 12:00:06 发布 · 4.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#safari #iframe #windows #html #测试 #xp

本文详细解析了在Safari浏览器中,当iframe元素的src属性为空或为about:blank,且onload事件中有alert、confirm、prompt等函数时,会导致浏览器崩溃的问题,并提供了解决方案。

测试环境:

Windows XP SP3

Safari 4.0.5

Safari 5.0

 

新建一个html文件,内容如下:

将此文件拖入Safari,Safari就“死了”……

 

原因:初始src属性为空或“about:blank”的iframe元素,如果其onload事件中有alert,confirm,prompt等函数的话,Safari就会死掉。

 

解决办法:不要把src属性留空,或者不要在src为空的iframe的onload中写alert……

iframeonloadbug
07-26
NULL 博文链接:https://snandy.iteye.com/blog/666530
iframeonload在Chrome/Opera中执行两次Bug的解决方法
09-05
这可能是由于Safari 5对`iframe`加载的处理方式其他浏览器不同,或者可能是由于网络延迟、资源加载问题或者是浏览器自身的兼容性问题。对于这种情况,开发者可能需要进一步调试和测试,以找出问题的根源并进行优化...
"><iframe>"><iframe/src="+">"><svg/onload=alert(location.href)>
qq_37356092的博客
01-17 608
"><iframe>"><iframe/src="+">"><svg/onload=alert(location.href)>
iframe加载页面,onload函数不执行的问题
热门推荐
oarsman的专栏
04-07 2万+
前一阵子,做了个小工具,其中用到了一个隐藏的iframe结果出现了一个奇怪的现象,iframe加载的页面本来有一个onload来进行初始化的,结果这个onload函数指定的初始化代码并没有被执行。同时使用document.getElementById去获取iframe加载的页面中的对象的时候,也得不到相应的信息。后来仔细看了一下代码,发现是隐藏iframe的方法的问题。如果要避免上面的问题,则不能
解决Chrome Safari Opera环境下 动态创建iframe onload事件同步执行
weixin_34041003的博客
02-24 260
我们先看下面的代码: setTimeout(function(){ alert(count); },2000); var count = []; document.body.appendChild(createEditorBody()); function oninitialized(){ count.p...
element-ui的confirm和alert弹窗在Safari浏览器看不见的bug及其简单解决
斜杠的博客
05-12 4237
问题描述: 近期遇见一个问题,element-ui的$confirm弹窗后执行确认后$alert弹窗。 在Chrome正常,但是在Safari则会出现闪现一下alert弹窗,然后只剩下灰色的蒙板,且点击关不掉的问题。 问题代码: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> ...
苹果ios iphone safari浏览器javascript中alert和confirm不生效解决办法
03-26 4223
在iOS Safari中,可能会遇到JavaScript Alert弹窗不起作用的问题。这是由于iOS Safari默认会阻止弹出窗口,包括JavaScript Alert弹窗。1.使用其他弹窗方式替代JavaScript Alert弹窗,例如使用自定义弹窗组件或者使用JavaScript模拟弹窗。
IE iframeonload方法分析小结
09-05
本文将深入探讨IE浏览器中`<iframe>`的`onload`事件处理,以及如何有效地判断一个`<iframe>`是否已经加载完成。 在非IE浏览器(如Firefox、Chrome等)中,我们可以直接使用`<iframe>`的`onload`事件进行绑定,例如...
高版本safira浏览器不支持iframe问题
v_111的博客
09-12 839
解决方法:运维配置Content-Security-Policy: frame-ancestors 'self' blob: https: www.xxx.com。1. 上线后发现17.5版本safair报错不支持iframe,存在跨域问题。
iframeonload事件不执行以及postMessage执行多次
weixin_42147968的博客
11-17 3935
iframe onload不执行
iframe滚动条在safari中无法滚动的终极解决方案
qq_27822743的博客
09-23 1660
大家都知道,正常情况下iframe嵌套的页面如果高度超过iframe高度,那么就正常出现滚动条,并且此滚动条是iframe自身的滚动条。 但在ios,safari浏览器下这一切都失效了,或许你百度,研究了一晚上也百思不得其解,因为大部分情况下你无法进行真机调试,那么你看到我的文章,将带你解决这一困扰。言归正传: 在safari的Webkit引擎下,iframe的高度会随着嵌套页面内容的增大而增大...
关于ios,safariiframe的各种
wimenlo的前端博客
06-20 1万+
最近没更新过vue的demo和博客,主要原因还是因为手头上有工作,假日也是忙得不行。不过能折腾一下也好,证明自己其实还年轻嘛。 回到正题,我负责的一个项目用的是iframe嵌套页面,bootstrap做UI框架,iframe各种坑我也是早有耳闻,在开始的时候也踩了不少,好在查了不少资料也算是解决了。忽然有一天需求大哥跟我说:兄弟不得了啦,你的页面在iphone上滚动不了,点击也没反应啦。我一下被
iframe js 加载失败_从加载CNZZ不成功导致全页面Js失效看iframe的弊端
weixin_42412524的博客
12-29 703
一、iframe 阻塞 onloadwindow的onload事件要等页面中所有内容加载完成,包括所有iframe加载完成以后才会运行,所以会给用户带来很大的“误解”,万一当iframe加载过慢,会让用户感觉网站速度很慢。解决方案:用javascript动态的给iframe赋值。二、链接池对每个 web 服务器来说,浏览器只打开极少的几个连接数。老的浏览器,包括 IE 6/7 和 Firefox ...
iframe中的onload事件深藏功
忆水思寒的博客
09-18 5866
动态创建的 display 为 none 的 iframe 元素,onload 事件不会执行 ????! 昨天业务需求中碰到一个关于 iframe 不能正常跳转的棘手问题,一直猜测是 onload 事件引起的,虽然最后用 promise 暂时解决了,但是考虑到一些老版本的浏览器还需要 polyfill 去兼容一下,不必要的引入了 js 增加开销,所以今天研究了一上午终于发现了 iframeonload 秘密。 ::: warning 定义: onload 事件会在页面或图像加载完成后立即发生,ifra
Safari 和 IE浏览器 中使用iframe加载第三方网站的cookies、session
changjun154的博客
06-12 5482
最近在项目中做了一个模块给别人用iframe嵌入,在测试过程中发现对于Safari 和 IE浏览器 不能保存cookies(session是基于cookies的,效果一样)
【专】各浏览器对页面 onload 事件处理方式
weixin_30788239的博客
10-18 438
要给一个要修改的界面添加onload函数,突然对window.onload,doument.onload,document.body.onload这些给搞混了,该如何使用,及其区别...............分别试验了一下发现认识到了好多盲点,搜到了这个文章,给试验结果差不多,不怎么会写文在此转载一下:http://www.w3help.org/zh-cn/causes/SD9022...
iso safari中ifram使用中的异常情况
assface的博客
06-14 660
1、ifram不能滚动的情况,给ifram外层元素加-webkit-overflow-scrolling: touch; 2、ifram中内容宽度大于iframe设定的宽度,在iframe中的内容load后给iframe设定宽度并设置scrolling=no,例如: if ($(iframe).width() > $(window).width()) { $(iframe)....
<iframe onload=alert`79103`>
最新发布
08-13
XSS(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者通过向网页中注入恶意脚本,当其他用户浏览该页面时,脚本会在其浏览器上执行,从而实现攻击者的目的,例如窃取用户的敏感信息、劫持会话、诱导用户执行恶意操作等。测试XSS漏洞是Web安全测试的重要组成部分,但必须在合法授权范围内进行,以避免违法行为。 在实际测试中,攻击者可能会利用`<iframe>`标签的`onload`事件来执行JavaScript代码,这属于XSS攻击的一种常见方式。例如,攻击者可以构造如下代码: ```html <iframe src="javascript:alert(1)" onload="alert('XSS via iframe onload')"></iframe> ``` 上述代码中的`onload`事件会在`<iframe>`加载完成后立即执行其中的JavaScript代码,如果页面未对用户输入进行有效过滤或转义,攻击者就可以通过这种方式注入恶意脚本[^2]。 为了防止此类XSS攻击,开发人员可以采取以下措施: 1. **输入过滤转义**:对所有用户输入进行严格的过滤和转义,防止恶意脚本的注入。例如,对HTML标签进行转义处理,避免直接执行用户提交的内容[^4]。 2. **使用安全的前端框架**:现代前端框架(如React、Vue等)默认会对用户输入进行转义,减少XSS攻击的风险。 3. **内容安全策略(CSP)**:通过设置HTTP头`Content-Security-Policy`,限制网页只能加载指定来源的脚本,阻止内联脚本的执行,从而有效防御XSS攻击。 ### 示例:CSP设置 ```http Content-Security-Policy: script-src 'self'; ``` 此策略表示网页只能加载来自当前域名的脚本,禁止执行内联脚本,从而防止XSS攻击。 ### XSS测试注意事项 - **合法授权**:在进行XSS测试时,必须确保已经获得目标系统的合法授权,否则可能构成非法入侵。 - **测试环境隔离**:建议在隔离的测试环境中进行XSS漏洞测试,避免影响生产系统。 - **使用专业工具**:可以借助OWASP ZAP、Burp Suite等工具进行自动化测试,提高测试效率和准确性。 XSS攻击测试和防御是Web安全领域的重要内容,开发人员和安全测试人员应具备足够的安全意识和技术能力,以确保Web应用的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值