安全隔离的iFrame？另类选择？

Question

我遇到了一个问题。我想安全地托管一个外部页面。也就是说，iFrame中没有JavaScript。或者它只执行安全代码，例如更改其页面的文本或设置其页面的颜色。我想让CSS保持活力。

从源代码上看，它们应该是一样的，但是，没有运行在后面的优雅代码。没有ActiveX，没有闪存，没有插件。我希望他们看起来是正确的，而不是所有的安全妥协。

我尝试过jQuery load()，但它只适用于内部页面，而不适用于外部页面。并且DIV中的CSS覆盖了我的站点的CSS，这不是我想要的。

我正在寻找一个孤立的框架，如iframe。这个是可能的吗？

Answer 1

HTML5现在有一个针对iframes的'sandbox‘选项。

这将允许您阻止iframe中的代码。

更多信息请访问：https://developer.mozilla.org/en-US/docs/Web/HTML/Element/iframe

Answer 2

你可以创建一个服务器端的有状态代理，就像php脚本一样，它可以读取远程页面并清除任何你不喜欢的东西。这不是一件真正简单的事情，但我担心没有真正容易的方法。

我的意思是，举个例子，你创建proxy.php

<?php
  $remote = file($_GET['remote']);
  // .. filter whatever you like in $remote then print it

，然后使用链接到站点

<iframe src="proxy.php?remote=http://www.example.com"></iframe>

这不是一个完整的例子，只是展示我的想法的一种方式。