IFrame 同源策略违规

【问题标题】:IFrame same origin policy vaiolationIFrame 同源策略违规
【发布时间】:2016-11-13 04:12:56
【问题描述】:

我正在尝试从子域 sub.example.com/dir/frame.html 加载 url example.com/somefile.html 中的 iframe。

为了避免违反 SOP,我在 javascript 代码中将 document.domain 属性设置为 example.com,在 frame.html 和 somefile.html 中。

这在 IE 和 Firefox 中有效,但我在 Chrome 中仍然遇到以下错误: “拒绝在框架中显示“frame-url”,因为它将 'X-Frame-Options' 设置为 'SAMEORIGIN'。”

在调试和检查两个文件 document.domain 值时,我得到了预期的“example.com”。

谁能赐教?

【问题讨论】:

标签: javascript google-chrome iframe same-origin-policy


【解决方案1】:

document.domain hack 对X-Frame-Options 规则没有任何影响。如果要允许页面显示在框架中,则需要更改X-Frame-Options 规则。

使用ALLOW-FROM 而不是SAMEORIGINspec has guidance 以防您想允许多个子域访问。

【讨论】:

猜你喜欢
  • 2011-11-08
  • 2013-11-04
  • 1970-01-01
  • 2013-05-15
  • 2014-03-23
  • 1970-01-01
  • 2019-09-10
  • 1970-01-01
  • 2017-12-27
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode