This MSDN article解释说same-origin policy不允许读取。
具体说:
来源A的网页
可能包括(执行)指向“ B”中HTML页面的框架
必须不允许获得该框架的内部HTML
如何在不访问文件内容的情况下“包含(执行)另一个html文件?”
在这种情况下,“包含(执行)”是什么意思?
答案 0 :(得分:2)
这是指以下事实:查看页面的用户可以看到iframe的内容,但是在框架页面上运行的脚本无法访问框架页面的内容。类似地考虑一个<img>标签将向用户显示任何来源的图像,但是包含<img>标签的页面中的脚本可能无法读取加载的图像的内容。
这很重要,因为框架页面来自不同的来源,并且是使用该来源的用户Cookie提取的。假设带有框架的页面是mail.google.com:当然,我不希望任何随机网页仅通过将其加载到iframe中来读取其收件箱中的内容。但是,只是向我显示该页面(恰好登录我的邮件服务的用户)对我来说是无害的。