应用错误收集

时间：2016-07-11 09:10:19

标签： javascript google-chrome iframe same-origin-policy

我尝试在子域sub.example.com/dir/frame.html中的url example.com/somefile.html中加载iframe。

为了避免SOP违规，我将document.domain attriute设置为javascript代码中的example.com，同时在frame.html＆amp; somefile.html。

这适用于IE和Firefox但我仍然在Chrome中遇到以下错误：＆＃34;拒绝显示＆＃34; frame-url＆＃34;在一个框架中因为它设置了X-Frame-Options＆＃39; to＆＃39; SAMEORIGIN＆＃39;。＆＃34;

当调试和检查两个文件document.domain值时，我得到了预期的＆＃34; example.com＆＃34;。

任何人都可以启发我吗？

答案 0 :(得分：0)

document.domain黑客只会对X-Frame-Options规则产生影响。如果您希望允许页面显示在框架中，则需要更改X-Frame-Options规则。

使用ALLOW-FROM代替SAMEORIGIN。如果您想允许多个子域访问，请spec has guidance。