【问题标题】:Making web page accessible through iframe使网页可通过 iframe 访问
【发布时间】:2013-07-16 19:59:08
【问题描述】:
由于同源政策,如果 iframe 中的内容来自不同的域,则父上下文无法访问它们。这也适用于 XMLHttpRequests。但是使用 CORS 的 Web 开发人员可以允许 XMLHttpRequests 访问跨源内容。是否也有类似的 iframe 访问方式。例如,是否有响应标头或允许加载在 iframe 中的响应页面从父 javascript 中读取?因为那时,该响应的所有者允许这样做。
【问题讨论】:
标签:
javascript
html
iframe
cors
same-origin-policy
【解决方案1】:
您不能将两个文档放入同一个脚本上下文中,除非它们共享一个父域(在这种情况下,您可以在两者上设置 document.domain 以匹配)。
要在框架和不同域的父级之间进行通信,请使用 HTML5 功能 window.postMessage 传递 JSON 字符串。 Support
允许同源合并的 CORS 样式标头是不合适的,因为它会产生允许框架站点 XSS 进入框架站点的效果,反之亦然。这将打开任何允许用户将框架发布到 XSS 的网站。