首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

为什么我可以在第一次尝试时从iframe写入sessionStorage,但不能连续尝试?(Chrome版本74)

在Chrome版本74中,无法连续尝试从iframe写入sessionStorage的原因是出于浏览器的安全策略考虑。sessionStorage是HTML5提供的一种用于在浏览器端存储会话数据的机制,它只能在同一浏览器窗口或标签页中共享数据。而由于安全性的考虑,浏览器限制了跨域的iframe之间的sessionStorage访问。

当第一次尝试从iframe写入sessionStorage时,浏览器会将该iframe的源(origin)与sessionStorage建立关联,并允许写入数据。但在连续尝试时,由于涉及到跨域操作,浏览器会检测到不同的源(origin),并阻止对sessionStorage的进一步写入操作。

这种安全策略的限制是为了防止恶意网站通过iframe窃取其他网站的sessionStorage数据,保护用户的隐私和安全。如果需要在不同的源(origin)之间共享数据,可以考虑使用其他机制,如跨文档消息传递(postMessage)或使用服务器端存储。

腾讯云相关产品中,可以考虑使用云存储(COS)来存储和管理数据。云存储(COS)是一种高可用、高可靠、弹性扩展的云端存储服务,提供了多种存储类型和数据访问方式,适用于各种场景和需求。您可以通过以下链接了解更多关于腾讯云存储(COS)的信息:

腾讯云存储(COS)产品介绍:https://cloud.tencent.com/product/cos

请注意,以上答案仅针对Chrome版本74的情况,不同版本的浏览器可能存在差异,建议在开发过程中参考浏览器的官方文档和最新的安全策略。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

前端面试那些坑之HTML篇

兼容模式中,页面以宽松的向后兼容的方式显示,模拟老式浏览器的行为以防止站点无法工作。 2、HTML5为什么只需要写?...9、HTML5的离线储存怎么使用,工作原理能不能解释一下? 在用户没有与因特网连接可以正常访问站点或应用,在用户与因特网连接,更新用户机器上的缓存文件。...存储大小: cookie数据大小不能超过4k。 sessionStorage和localStorage 虽然也有存储大小的限制,比cookie大得多,可以达到5M或更大。...使用iframe之前需要考虑这两个缺点。如果需要使用iframe,最好是通过javascript 动态给iframe添加src属性值,这样可以绕开以上两个问题。 13、Label的作用是什么?...可以防止恶意破解密码、刷票、论坛灌水; 有效防止黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试。 18、title与h1的区别、b与strong的区别、i与em的区别?

1.5K90

前端开发面试题总结之——HTML

一个网页请求到最终显示的完整过程一般可以分为如下7个步骤: (1)浏览器中输入网址; (2)发送至DNS服务器并获得域名对应的WEB服务器IP地址; (3)与WEB服务器建立TCP连接; (4)浏览器向...在用户没有连接英特网可以正常访问站点和应用;在用户连接英特网,更新用户机器上的缓存文件。...注意:sessionStorage可以用localStorage 来代替,需要记住的是,在窗口或者标签页关闭,使用sessionStorage 存储的数据会丢失。...(4)使用iframe之前需要考虑这两个缺点。如果需要使用iframe,最好通过JavaScript动态给iframe添加src属性值,这样可以绕开以上两个问题。 Label的作用是什么?如何使用?...可以防止:恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试

1.8K80
  • 前端面试题1(HTML篇)

    兼容模式中,页面以宽松的向后兼容的方式显示,模拟老式浏览器的行为以防止站点无法工作 HTML5 为什么只需要写 ?...之后当网络处于离线状态下,浏览器会通过被离线存储的数据进行页面展示 如何使用: 页面头部像下面一样加入一个manifest的属性; cache.manifest文件的编写离线存储的资源 离线状态...sessionStorage和localStorage不会自动把数据发给服务器,仅在本地保存 存储大小: cookie数据大小不能超过4k sessionStorage和localStorage...虽然也有存储大小的限制,比cookie大得多,可以达到5M或更大 有期时间: localStorage 存储持久数据,浏览器关闭后数据不丢失除非主动删除数据 sessionStorage...如果需要使用iframe,最好是通过javascript动态给iframe添加src属性值,这样可以绕开以上两个问题 优点: 用来加载速度较慢的内容(如广告) 可以使脚本可以并行下载 可以实现跨子域通信

    1.8K10

    0CTF h4x0rs.club12 复现

    当队友通过 admin admin 登录成功,自己。。。。 真的不知道该说啥好。 对,第一题就这么解开了,登陆后就可以进资料看到flag了。 ?...发现有一个textarea,尝试写入以下语句闭合textarea,发现可以用。 ? 此时成功引入了一个img标签。但是如何看到这页呢?...不要问我为啥不写js,csp限制的那么狠,你告诉js怎么写!怎么写! 而且大多数时候,写img,可以测试一下是否存在这个点。自己蛮喜欢先拿他测试。 ? 发现Chrome版本为65。...想想就开心 此时大家可能有疑问,为什么不直接化个妆,假装是后端呢,非要搬个小板凳坐中间。 因为前端对接收的信息做了验证。 ? 后端可没有做这个验证。...Chrome拦截策略是,当你url通过iframe引入其他域页面是,进行拦截,所以,我们完全可以引入一个本域的页面。 即引入一个用户eval1的资料页面,并且在这里。

    1.6K70

    阿里前端二面常见面试题汇总_2023-03-01

    HTTP/2中,多个请求是跑一个TCP管道中的。当HTTP/2出现丢包,整个 TCP 都要开始等待重传,那么就会阻塞该TCP连接中的所有请求。...预处理器支持我们写一种类似 CSS、实际并不是 CSS 的语言,然后把它编译成 CSS 代码: 那为什么写 CSS 代码写得好好的,偏偏要转去写“类 CSS”呢?...Babel 可以将高版本的 JS 代码转换为低版本的 JS 代码。PostCss 做的是类似的事情:它可以编译尚未被浏览器广泛支持的先进的 CSS 语法,还可以自动为一些需要额外兼容的语法增加前缀。...有一条更加严格的限制,SessionStorage只有同一浏览器的同一窗口下才能够共享; LocalStorage和SessionStorage不能被爬虫爬取; SessionStorage的常用API...Chrome浏览器的架构图: 图中可以看出,最新的 Chrome 浏览器包括: 1 个浏览器主进程 1 个 GPU 进程 1 个网络进程 多个渲染进程 多个插件进程 这些进程的功能: 浏览器进程:主要负责界面显示

    1.5K00

    作为一个前端,可以如何机智地弄坏一台电脑?

    自动遍历 这种程度还不够。 如果要实验变得更好(xie)玩(e)一些,问题就变成如何让用户自动遍历这些端口? iframe是个好的尝试。...); 当然iframe我们还可以设置为不可见,以掩盖这种不厚道的行为… 比方说,有人发给你一个链接,你打开后发现是个视频,而你根本注意不到背后的脚本,视频播放的几分钟里,快要把你的C盘写满。...在后续的实验中,就慢慢的把端口数量与存储的数据调大。 电脑也运行得越来越慢。这是为什么呢? 观察到,有时候执行localStorage.setItem()后,文件夹里不一定立即能看到数据文件。...怀疑这些数据会被chrome先放到内存里,以避免重复读写带来的消耗,空闲或关闭的时机,再写进硬盘里。 此时,浏览器已经影响到系统了。...遭遇黑科技的人们能做的只有: 等待 用任务管理器关掉chrome进程,再等待 相信并尝试“重启电脑解决90%电脑问题”的科学论断 可以说,浏览器的内心几乎是崩溃的。

    69220

    前端硬核面试专题之 HTML 24 问

    ---- HTML5 的离线储存怎么使用,工作原理能不能解释一下 ? 在用户没有与因特网连接可以正常访问站点或应用,在用户与因特网连接,更新用户机器上的缓存文件。...sessionStorage 和 localStorage 不会自动把数据发给服务器,仅在本地保存。 存储大小 cookie 数据大小不能超过 4k。...sessionStorage 和 localStorage 虽然也有存储大小的限制,比 cookie 大得多,可以达到 5M 或更大。...内联框架 iframe一般用来包含别的页面,例如 我们可以我们自己的网站页面加载别人网站的内容,为了更好的效果,可能需要使 iframe 透明效果; iframe 会阻塞主页面的 onload 事件;...区分用户是计算机还是人的公共全自动程序; 可以防止恶意破解密码、刷票、论坛灌水; 有效防止黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试

    1.2K20

    作为一个前端,可以如何机智地弄坏一台电脑?

    自动遍历 这种程度还不够。 如果要实验变得更好(xie)玩(e)一些,问题就变成如何让用户自动遍历这些端口? iframe是个好的尝试。...); 当然iframe我们还可以设置为不可见,以掩盖这种不厚道的行为… 比方说,有人发给你一个链接,你打开后发现是个视频,而你根本注意不到背后的脚本,视频播放的几分钟里,快要把你的C盘写满。...这是为什么呢? 观察到,有时候执行localStorage.setItem()后,文件夹里不一定立即能看到数据文件。...怀疑这些数据会被chrome先放到内存里,以避免重复读写带来的消耗,空闲或关闭的时机,再写进硬盘里。 此时,浏览器已经影响到系统了。...遭遇黑科技的人们能做的只有: 等待; 用任务管理器关掉chrome进程,再等待; 相信并尝试“重启电脑解决90%电脑问题”的科学论断 可以说,浏览器的内心几乎是崩溃的。

    63710

    作为一个前端,可以如何机智地弄坏一台电脑?

    自动遍历 这种程度还不够。 如果要实验变得更好(xie)玩(e)一些,问题就变成如何让用户自动遍历这些端口? iframe是个好的尝试。...); 当然iframe我们还可以设置为不可见,以掩盖这种不厚道的行为… 比方说,有人发给你一个链接,你打开后发现是个视频,而你根本注意不到背后的脚本,视频播放的几分钟里,快要把你的C盘写满。...这是为什么呢? 观察到,有时候执行localStorage.setItem()后,文件夹里不一定立即能看到数据文件。...怀疑这些数据会被chrome先放到内存里,以避免重复读写带来的消耗,空闲或关闭的时机,再写进硬盘里。 此时,浏览器已经影响到系统了。...遭遇黑科技的人们能做的只有: 等待; 用任务管理器关掉chrome进程,再等待; 相信并尝试“重启电脑解决90%电脑问题”的科学论断 可以说,浏览器的内心几乎是崩溃的。

    1.2K00

    web本地存储localStorage和sessionStorage

    的大小只能是4KB且会跟在url的头中传输,locatlstorage的优势在于以下几点: 1、localStorage拓展了cookie的4K限制 2、localStorage会可以第一次请求的数据直接存储到本地...,这个相当于一个5M大小的针对于前端页面的数据库,相比于cookie可以节约带宽,但是这个却是只有版本的浏览器中才支持的 缺点也有: 1、浏览器的大小不统一,并且IE8以上的IE版本才支持localStorage...sessionStorage操作限制单个标签页中,在此标签页进行同源页面访问都可以共享sessionStorage数据。 3) 只本地存储。...value的值必须为字符串类型(传入非字符串,也会在存储转换为字符串。true值会转换为"true")。 5) 存储上限限制:不同的浏览器存储的上限也不一样,大多数浏览器把上限限制5MB以下。...void sessionStorage.removeItem(string key) :将指定的键名(key) sessionStorage 对象中移除。 ?

    1.8K20

    关于CSRF漏洞的一次有趣的交互

    当我正准备提交测试结果,并说明无法复现的时候,老大叫到了说:“这不是CSRF可以删除吗?你为什么删不掉呢”,过去瞅了一眼,确实执行并成功删除了,这接口看眼缘?...Chrome 51开始,浏览器的Cookie新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪,该设置当前默认是关闭的,但在Chrome 80之后,该功能默认已开启。...SameSite 属性有三个值可以设置 Strict Lax None Strict最为严格,完全禁止第三方 Cookie,跨站点,任何情况下都不会发送 Cookie。...调研完毕后,将结果同步给了客户: 过了一会儿,客户给了反馈,客户对此比较重视,并从更多维度测试了此问题,这是值得去学习的一点: 不仅对chrome浏览器是否同源进行了测试,浏览器同样尝试了更多其它的浏览器...小结 这篇文章从一次csrf失败的复现引出浏览器安全机制等一系列有趣的事,同时通过这件事也让发现了自身存在的一些问题,比如不够细节,考虑问题没有更多方面去考虑。思维不够发散,只停留在问题本身等等。

    47320

    localStorage 还能这么用

    借助服务器端将静态文件 inline 化 这个方式比上面那种更进一步,第一次响应时把需要放入 localStorage 的文件都内联进 html 中,后面每次响应只要文件版本没有变化,都是渲染一段...这样做的好处是可以有效减少请求次数,即使是第一次。...版本号不匹配(版本号可记在 Cookie 中,第一次访问没有版本号),服务端响应内容: function script2ls(id) { var script = document.getElementById...没错 postMessage 确实可以用于窗口或 iframe 间通信,但是前提是你必须拿到打开新窗或 iframe 的句柄对象: var popup = window.open(...popup details...这当然也可以通过每个窗口都与后台建立连接来更新,用户如果开十几个窗口就开销大了。 有了同源窗口通信,我们就可以只有一个窗口与后台建立连接,收到更新后,广播给其他窗口就可以

    93740

    如何进行渗透测试XSS跨站攻击检测

    Gecko 1.9开始,文件使用了更细致的同源策略,只有当源文件的父目录是目标文件的祖先目录,文件才能读取另一个文件。...要加载的文件的host部分必须跟允许的域的host部分一致 3.2.3.3.4. iframe可以执行代码可以创建一个源为 css js 等静态文件的frame,配置不当时,该frame并不存在...过期的payload src=java:alert基本不可以用 css expression特性只版本ie可用 3.2.9.10. css <div style="background-image:...因此当有一个XSS<em>时</em>,<em>可以</em>把payload<em>写入</em>其中,在对应条件下触发。 <em>在</em>一些条件下,这种利用方式可能因为一些特殊字符造成问题,<em>可以</em>使用 String.fromCharCode 来绕过。...AppCache <em>在</em>可控的网络环境下(公共wifi),<em>可以</em>使用AppCache机制,来强制存储一些Payload,未清除的情况下,用户访问站点<em>时</em>对应的payload会一直存在。

    2.7K30

    JavaScript LocalStorage 完整指南

    虽然 sessionStorage可以以 key-value 的形式存储数据,当会话结束,它将被清除。但是,使用 localStorage,数据是连续的,直到显式删除为止。...即使开始填写表单和提交表单之间的互联网断开,用户也不会丢失他们的输入,可以停止的地方继续。 3.3 缓存 当你的页面1秒内加载,客户转化率可以提高 2.5 倍。...你还可以标签之间同步音乐或视频播放器。 3.5 预先的数据 可以使用 localStorage 存储预填充的应用程序版本。...另一个区别是,少数浏览器的情况下,localStorage 不能在隐身模式下工作, sessionStorage 可以。...引入 IndexedDB 的主要原因是为了提供更好的 localStorage 版本。那么,为什么不在所有情况下都使用 IndexedDB 呢?

    2.2K10

    记录工作中遇到的各种问题(Bug,总结,记录)

    第一次成功打印出来,即触发了load事件,点击下一页后,iframe实际上已经刷新了,并不会再触发这个load事件 后来的解决办法是换了种监听方法,区别主要是获取iframe对象的方式变了,还不知为啥会这样...离开当前页面判断是否有更改,做出提示 新版本浏览器基于安全机制,不能设置提示的样式,也不能设置提示中操作(确认和取消)的回调,也不能设置提示的文案(旧版的可以设置文案) ? ?...表格中有大量数据,很容易就会出现性能问题 表格Reflow的Repaint代价都很高,滚动、对表格项操作的时候,经常就卡顿了 优化方案得按实际需求来看 首先可以尝试:尽可能地只处理视窗可见的表格项即可...数据量大滚动的卡顿,可以尝试加上will-change: transform来避免重新布局 几万条数据的表格中试过,因为每条数据又有一些绑定,导致每次渲染都有卡顿现象,滚动的时候一卡一卡的 滚动,...Chrome开发者工具中打开开发者工具(Inspect in DevTools) 其实Chrome开发者工具就像是一个iframe,嵌入到页面中,也是可以审查的 首先打开DevTools至独立窗口中,

    18.1K12

    前端开发中不可忽视的知识点汇总(一)

    2k;Opera限制4k;Firefox,Chrome限制8k GET 请求只应当用于取回数据 POST 请求不会被缓存 POST 请求不会保留在浏览器历史记录中 POST 不能被收藏为书签 POST...(13年发布的Chrome 28.0.1469.0版本开始,Chrome放弃Chromium引擎转而使用最新的Blink引擎(基于WebKit2——苹果公司于2010年推出的新的WebKit引擎),Blink...存储大小:cookie数据大小不能超过4k。sessionStorage和localStorage 虽然也有存储大小的限制,比cookie大得多,可以达到5M或更大。...使用iframe之前需要考虑这两个缺点。如果需要使用iframe,最好是通过javascript 动态给iframe添加src属性值,这样可以绕开以上两个问题。 16....可以防止恶意破解密码、刷票、论坛灌水;有效防止黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试。 17. 介绍一下标准的CSS的盒子模型?低版本IE的盒子模型有什么不同的?

    73520

    前端学习资料整理

    sessionStorage和localStorage 虽然也有存储大小的限制,比cookie大得多,可以达到5M或更大。...HTML5的离线储存怎么使用,工作原理能不能解释一下? 在用户没有与因特网连接可以正常访问站点或应用,在用户与因特网连接,更新用户机器上的缓存文件。...存储大小: cookie数据大小不能超过4k。 sessionStorage和localStorage 虽然也有存储大小的限制,比cookie大得多,可以达到5M或更大。...当解释器寻找引用值,会首先检索其 栈中的地址,取得地址后堆中获得实体 Javascript如何实现继承?...当尝试读取时会返回 undefined; 例如变量被声明了,没有赋值,就等于undefined typeof null //"object" null : 是一个对象(空对象, 没有任何属性和方法)

    3.5K20

    contextIsolation | Electron 安全

    0x00 提醒 之前的一篇Electron 安全与你我息息相关文章非常的长,虽然提供了 PDF 版本还是导致很多人仅仅是点开看了一下,完读率大概 7.95% 左右,上一篇真的是觉得很重要的一篇...点击按钮后 sandbox: true 并不能带来上下文隔离的效果,只有 contextIsolation 为 true 可以 配置 3 就不需要测试了 Electron 29.3 总结 Electron...我们的视角是攻击视角出发的,也就是说每一种语境只去探索能够获取更多信息的隔离是否有效,因此级别也就是上面列出来的级别,距离来所就是:我们会探索 iframe不能获取到主进程、Preload、 渲染进程语境中的对象...window.open 似乎可以绕过 sandbox,而 6.0 开始,sandbox 开启,Preload 脚本就只能执行受限制的 NodeJS 如果我们选择一个 6.0 ~ 14.0 之间版本的...URL ,这个就属于是 iframe 嵌入,是说这种功能,微信是不是这么做的暂不得知哈 Discord 支持嵌入例如 YouTube内容,当 YouTube URL 被发布,它会自动聊天中显示视频播放器

    38410

    Chrome 74 带来的新功能

    Chrome 74 已经发布了,虽然用户的角度来看并没有什么令人兴奋的东西,但是对开发人员来说带来了一些好处。...操作系统已添加了减少这类动作的选项, Chrome 74 上你可以通过使用媒体查询,来减少动画中的动作。 这是如何运作的?假设你有一个动画按钮。...拥抱深色模式 也许你并不想,关键是现在你多了一个选择。 Chrome 73 中,为Mac 用户添加了深色模式,但是并没有为 Windows 添加。...Chrome 74 也为 Windows 加上了。与Mac版本一样,Windows 中的深色模式看起来有点像隐身模式,不同的是应用于新标签、书签栏等的主题。 还有什么?...这些只是Chrome 74的一些亮点。如果你正在寻找细节,请查看chromestatus.com,Google的官方网站适用所有 Chrome 更新。他们更了解这些功能,甚至可以让你了解未来的版本

    73820
    领券