螺螺的blog
父母一天天老去了,我要努力!

通过Script Editor脚本调试观察到的一些特性,不分先后胡乱列一通:

1、跨域可以读取属性名/全局变量名

2、属性的粒度是到读写的,比如location对象的属性,可以跨域写,但是不可以跨域读

3、操作符也是有权限控制的,比如location对象可以使用操作符!=、==,但是没有办法使用=

4、null和undefined状态是可读的

5、length是可读的

6、权限限制错误有两种提示,一是“拒绝访问”,一是“没有权限”;我猜测“拒绝访问”是没有读写权限,“没有权限”是仅有读或者写权限

7、 window.frames[i]取得的是frame的contentWindow对象,document.getElementsByTagName("iframe")[i]取得是iframe元素对象,所以后者需要使用.contentWindow来获取frame的window对象

可能以上某一个单独的特性并不能获取多少信息,但是组合起来有可能获取更多的有用信息:)
posted on 2009-03-31 13:19  luoluo  阅读(2502)  评论(4编辑  收藏  举报