在不违反 SOP 的情况下设置 document.domain

Question

我试图弄清楚在不违反 SOP 的情况下，从 iframe 加载内容时设置 document.domain='example.com' 是否有效。 在我的场景中，我在 www.example.com 上有一个 html 页面，它在 www.example.com/iframe （所有端口 80）上加载 iframe - 因此，据我了解，这里不需要设置 document.domain 属性。

在 FF3 中，从 iframe 流式传输的 javascript 代码不会执行，除非我在父页面和 iframe 上显式设置 document.domain 属性。在 FF4 中，这两种设置都不会执行。我也尝试过在主机名中使用 www 前缀 - 没有区别。 Firebug 显示，包含

这是否意味着在不涉及子域或 xss 的情况下设置 document.domain 仍然有目的？

Answer 1

除非发生其他情况，否则设置 document.domain 不应对您的情况产生影响。

我建议您不要触摸 document.domain 并尝试找到问题的真正原因。干预 document.domain 只会在通过 iframe 等进行 AJAX 或文件上传时导致麻烦，因为这些不一定会选择新的域后缀。

但要回答的是，不，它除了在跨子域通信时放松 SOP 之外没有其他目的。