Zitat von boardraiderDa sich alle gängigen Browser derart verhalten, erscheint mir eine Fx-zentrierte Umgehung wenig zielführend. Durch Manipulation am Quellcode oder den Einsatz einer Erweiterung ließe sich das sicherlich realisieren.
Im IE habe ich die Möglichkeit die vertrauenswürdigen Sites zu nutzen. Dort lässt sich so eine Einstellung also sehr einfach vom User durchführen. Ich suche also keine FX zentrierte Möglichkeit, sondern eine auch für FX.
OK, abgesehen davon dass das Beispiel nicht gut war.
Die URL http://www.firefox.com war auch nur eingetragen um ein lauffähiges Beispiel zur Verfügung zu stellen.
Im Normalfall steht im Link http://www.x.com/.../externalcall.htm
Womit sich mir nicht erschliesst warum das ein Sicherheitsproblem sein sollte, wenn ich am Server http://www.x.com eine Seite von http://www.x.com in einen Frame der auf http://www.x.com gehostet wird setzen will. Nur weil der Aufruf dazu von http://www.y.com kommt?
https://bugzilla.mozilla.org/show_bug.cgi?id=246448
So zurück zu meiner Frage:
- Ist dieses Verhalten änderbar? Entweder über eine Option im Firefox oder über eine Konfiguration in about:config
- Kann man irgendwie Seiten als "vertrauenswürdig" einstufen?
- Wieso kann ich über eine Domain Y nicht einen Frame von Domain X auf eine Seite der Domain X setzen?
Die URL http://www.firefox.com war auch nur eingetragen um ein lauffähiges Beispiel zur Verfügung zu stellen.
Im Normalfall steht im Link http://www.x.com/.../externalcall.htm
Womit sich mir nicht erschliesst warum das ein Sicherheitsproblem sein sollte, wenn ich am Server http://www.x.com eine Seite von http://www.x.com in einen Frame der auf http://www.x.com gehostet wird setzen will. Nur weil der Aufruf dazu von http://www.y.com kommt?
Mir scheint es so zu sein, dass nur Fenster nach dem Frame durchsucht werden, die von der gleichen HTTP Domain kommen wie die aufrufende Seite. Spricht dann aber IMHO gegen die HTML Definition unter http://www.w3.org/TR/html401/appendix/notes.html#h-B.8
Since there is no guarantee that a frame target name is unique, it is appropriate to describe the current practice in finding a frame given a target name:
1. If the target name is a reserved word as described in the normative text, apply it as described.
2. Otherwise, perform a depth-first search of the frame hierarchy in the window that contained the link. Use the first frame whose name is an exact match.
3. If no such frame was found in (2), apply step 2 to each window, in a front-to-back ordering. Stop as soon as you encounter a frame with exactly the same name.
4. If no such frame was found in (3), create a new window and assign it the target name.
Nachvollziehbarkeit und Testfall im Attachment "targeting.zip":
- Öffnen von "targetpage.htm"
- Öffnen von "callpage.htm" in einem neuen Firefox unter anderer HTTP Domain (z.B. IP Adresse statt Rechnername)
==> Link öffnet nicht im IFrame von "targetpage.htm" der als target-Attribut gesetzt ist
Ich habe folgende Situtation:
- eine Seite die unter http://www.x.com läuft hält einen IFrame mit Name "iframe_x" mit src = about:blank
- eine Seite die unter http://www.y.com läuft hält einen HTML href mit target = "iframe_x"
Wenn der User auf diesen Link klickt öffnet ein neues Firefox Fenster, das die verlinkte Seite zeigt.
Erwarten würde ich mir in dem Fall aber, dass die aufgerufenen Seite im IFrame öffnet. Es funktioniert auch nicht, wenn ich über einen Formular POST gehe, oder über window.open mit dem Namen des IFrame.
Ist das eine Sicherheitsbeschränkung, die verhindert dass ein IFrame der in einer anderen HTTP Domain läuft als Target verwendet wird?
Wenn ja, ist das durch eine Einstellung in den Optionen im Firefox (3.5, 3.6) änderbar (ich konnte nichts finden)?
Oder ist es dieses Verhalten durch eine Konfigurationsänderung im Firefox (about:config) änderbar?
Danke im Voraus für eure Antworten!
