跨不同域访问 iframe 元素

Question

据我所知，跨站点脚本（xss）不好，并且大多数浏览器都不支持。 然而，我正在构建一个仅供公司内大约 3 或 4 人使用的页面。 在此页面上，我有一个来自另一个域的框架，我需要父页面能够访问该框架内的值。

所以我的问题是，在 Firefox 或 IE7 中是否有办法（更改设置等）允许这种情况发生？ 最好（但不一定）任何设置更改都明确针对我的域。

我在网上找到了一些帮助，说在FF中你可以添加capability.policy来允许这样做。 不过我没那么幸运，也许 FF3 不支持这一点。

Answer 1

对于那些寻找的人来说，有一种很好的向后兼容、仅限 JavaScript 的跨域通信方式。 代码也简短、简单。 完美的解决方案？ 只要您请求修改父级和子级：

http: //www.onlineaspect.com/2010/01/15/backwards-company-postmessage/

Answer 2

我的一些想法：

• 在 IE 中，您可以更改站点所在安全区域的设置。我建议您将域添加到“受信任的站点”，然后确保“”访问数据跨域源。”已为受信任站点区域启用。您可以找到更多信息 此处。

• 如果您有一个可以控制的域名，也许您可​​以设置指向不同框架中的站点的子域？ 从而愚弄网络浏览器，认为它们是同一站点的一部分？

• 如果您喜欢编码，您可以创建一个使用 IE 浏览器控件并实现其自己的 IInternetSecurityManager 的自定义应用程序 (http://msdn.microsoft.com/en-us/library/ms537130(VS.85).aspx) 允许跨域脚本访问。

Answer 3

另一种选择是设置代理页面，使页面看起来源自同一域。 代理页面可能非常容易受到 XSS 攻击，具体取决于实现方式。 尽管您声明这不是问题，但考虑这一点很重要。