由于同源策略,如果父内容来自不同的域,则内容中的内容无法访问。这也适用于XMLHttpRequests。但是使用CORS Web开发人员可以允许XMLHttpRequests访问跨源内容。是否有类似于iframe访问的方式。例如,是否有一个响应标题或某些内容允许从父javascript中读取在iframe中加载的响应页面?因为那时,该响应的所有者允许它。
答案 0 :(得分:0)
除非他们共享父域,否则不能将两个文档放在同一个脚本上下文中(在这种情况下,您可以在两者上设置document.domain
以匹配)。
要在帧与来自不同域的父级之间进行通信,请使用HTML5功能window.postMessage
传递JSON字符串。 Support
允许相同原点合并的CORS样式标题不合适,因为它会使框架式网站允许XSS进入成帧网站,反之亦然。这将打开任何允许用户将帧发布到XSS的网站。