由于同源策略,如果 iframe 内的内容来自不同的域,则父上下文无法访问它们。这也适用于 XMLHttpRequests。但是使用 CORS 的 Web 开发人员可以允许 XMLHttpRequests 访问跨源内容。是否也有类似的 iframe 访问方式。例如,是否有响应标头或允许加载在 iframe 内的响应页面从父 javascript 读取?因为那时,该响应的所有者允许它。
问问题
128 次
1 回答
0
您不能将两个文档放入同一个脚本上下文中,除非它们共享一个父域(在这种情况下,您可以将document.domain两者都设置为匹配)。
为了在不同域的框架和父级之间进行通信,请使用 HTML5 功能window.postMessage传递 JSON 字符串。支持
允许同源合并的 CORS 样式的标头是不合适的,因为它会产生允许框架站点 XSS 进入框架站点的效果,反之亦然。这将打开任何允许用户将框架发布到 XSS 的网站。
于 2013-07-16T11:59:08.167 回答