我们有一个加载了 http 的页面,它加载了一个带有 https 的 iframe。这两个页面在同一个域上,除了协议。
(我知道拥有 https iframe 是一种不好的做法。我无能为力。)
当 iframe 中的 Javascript 尝试调用父级中的 javascript 函数时,它会失败并显示以下内容:
Unsafe JavaScript attempt to access frame with URL http://www.foo.com/homepage/ from frame with URL https://www.foo.com/homepage/en/loginModal.html. Domains, protocols and ports must match.
有什么办法可以修改它来工作吗?是否有可能使用“Access-Control-Allow-Origin”标头来做到这一点?
如果我们更改主页的 jsp 以设置响应标头,例如:
Access-Control-Allow-Origin: https://www.foo.com
那会奏效吗?