Same-origin security policy

最新推荐文章于 2024-04-28 15:26:11 发布
最新推荐文章于 2024-04-28 15:26:11 发布
阅读量578 收藏
点赞数
分类专栏: JavaScript 跨域

原文地址http://stackoverflow.com/questions/25098021/securityerror-blocked-a-frame-with-origin-from-accessing-a-cross-origin-frame

翻译如下

问题:

从页面的<iframe>中使用JavaScript 获取内容到本地,出现跨域请求错误的问题,浏览器的安全性机制不允许我这样做,怎么办?

原文错误:

SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame.
解决方法:
浏览器的安全机制就是不允许用JavaScript获取iframe中的内容,在同一个域中才可以获取 

<<strong>protocol</strong>>://<<strong>hostname</strong>>:<<strong>port</strong>>/path/to/page.html
protocol、hostname 和 port 都必须完全相同

举例如下:

http://www.example.com/home/index.html

URL                                             RESULT
http://www.example.com/home/other.html       -> Success
http://www.example.com/dir/inner/another.php -> Success
http://www.example.com:80                    -> Success (default port for HTTP)
http://www.example.com:2251                  -> Failure: different port
http://data.example.com/dir/other.html       -> Failure: different hostname
https://www.example.com/home/index.html.html -> Failure: different protocol
ftp://www.example.com:21                     -> Failure: different protocol & port
https://google.com/search?q=james+bond       -> Failure: different hostname & protocol
解决办法

在自己的页面中使用 window.postMessage和它对应的message 事件。

在你的主页面

var frame = document.getElementById('your-frame-id');

frame.contentWindow.postMessage(/*any variable or object here*/, '*');

在你的 <iframe>中(包含在主页面) 

window.addEventListener('message', function(event) {

    // IMPORTANT: Check the origin of the data!
    if (~event.origin.indexOf('http://yoursite.com')) {
        // The data has been sent from your site

        // The data sent with postMessage is stored in event.data
        console.log(event.data);
    } else {
        // The data hasn't been sent from your site!
        // Be careful! Do not use it.
        return;
    }
});

这种方法是双向的,也可以在主页面监听,接收从frame中获得的内容。


The same logic can also be implemented in pop-ups and basically any new window generated by the main page (e.g. using window.open()) as well, without any difference.(结尾这句没看懂,不看了。。。)








 


NiceNemo
关注
专栏目录
记录一个因网络同源策略(Same Origin Policy)引起的错误
import totw.Blogs;
06-27 550
记录一个因网络同源策略引起的错误 最近用.NET Core加C#写了一个REST API的web应用。将应用放在了Mircosoft Azure上。测试的时候,用Postman发送各种HTTP请求,都成功执行并得到返回数据。而后又用JS写了一个简单的客户端,利用XMLHttpRequest发送请求。用Chrome运行客户端的时候,问题出现了。在发送GET请求的时候,没有任何数据返回。 一开始以...
iframe 内嵌报跨域SecurityError: Blocked a frame with origin “http://x“from accessing a cross-origin frame
userDengDeng的博客
03-09 2万+
Vue 项目中 嵌入 iframe <iframe id="iframe" width="100%" height="100%" frameborder="0" :src="embedSrc"></iframe> 报跨域错误 Error in nextTick: "SecurityError: Blocked a frame with origin "https://test-live.cantonfair.org.cn" from accessing a cross-origi
same-origin policy----wikipedia
weixin_30414245的博客
05-20 243
In computing, the same-origin policy is an important concept in the web application security model. Under the policy, a web browser permits scripts contained in a first web page to access data in a se...
同源策略(same origin policy
csdssdn的博客
06-19 1万+
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。 如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。浏览器默认两个不同的源之间是可以互相访问资源和操作DOM的。两个不同的源之间若是想要访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。它的存在可以保护用户隐私信息,防止身份伪造。Web内容的源用于访问它的URL的协议(方案)、主机(域名)、和端口号。只有当协议、主机、域
Cypress:报错SecurityError: Blocked a frame with origin "xxx" from accessing a cross-origin frame解决方案
简单随风的博客
08-28 1万+
报错是因为跨域问题,官网上给出了解决方案 https://docs.cypress.io/guides/guides/web-security.html#Disabling-Web-Security 最简单的办法: 在cypress.json中将chromeWebSecurity设置为false,即可解决报错! ...
Nginx配置Http响应头安全策略_nginx content-security-policy
最新发布
2301_82257383的博客
04-28 845
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
内容安全策略(content-security-policy
热门推荐
我的LOG
12-31 3万+
iframe 在使用iframe 的时候 <iframe style="border:0;width:100%;height:100%" src="https://github.com/join"/> 经查 报的是 Refused to frame ‘https://github.com/’ because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘non
Content-Security-Policy 入门必知
wy818的专栏
03-18 877
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。 Header set Content-Security-Policy "script-src 'https:'; obj.
Content-Security-Policy directive 'sameorigin'.
08-24
Content-Security-Policy directive 'sameorigin' 是一种用于限制网页中的资源加载的内容安全策略指令。它指示浏览器只允许加载来自同一域名的资源。这意味着该网页中的iframeframe只能加载来自相同域名的内容,而...
Uncaught SecurityError: Blocked a frame with origin "null" from accessing a frame with origin "null"
xqhys的博客
03-30 2万+
跨页面操作涉及域的概念(origin)。 错误的意思是: 未捕获的安全错误:阻止了一个域为null的frame页面访问另一个域为null的页面。 也许你是在本地直接用浏览器打开的、地址栏是file:///的页面吧。 可以试着在本地架设服务器来调试,建议工具:nginx。 错误的意思是: 未捕获的安全错误:阻止了一个域为null的frame页面访问另一个域为null的页面。 也许你是在本地直...
iframe跨域问题
03-07
iframe跨域问题:Uncaught DOMException Blocked a frame with origin解决方法
iframe跨端口报错 Blocked a frame with origin from accessing a cross-origin frame
weixin_34148508的博客
04-11 3405
前言在不同的端口号,甚至是不同的ip进行iframe嵌套的时候,在父页面调用子页面的方法的时候,报错 SecurityError: Blocked a frame with origin from accessing a cross-origin frame… 问题原因在不同端口号下,不能使用传统的iframe嵌套调用方法。 document.getElem...
SecurityError: Blocked a frame with origin from accessing a cross-origin frame
weixin_33895475的博客
01-12 4225
问题描述:浏览器报错I am loading an &lt;iframe&gt; in my HTML page and trying to access the elements within it using Javascript, but when I try to execute my code, I get the following error:SecurityError: Block...
iframe与主框架跨域相互访问方法
weixin_34209406的博客
12-27 3417
iframe 与主框架相互访问方法 1.同域相互访问 假设A.html 与 b.htmldomain都是localhost (同域) A.html中iframe 嵌入 B.html,name=myframe A.html有js function fMain() B.html有js function fIframe() 需要实现 A.html 调用 B.html 的...
iframe框架自适应高度 uncanght SecurityError: Blocked a frame with origin "null" from accessing a frame .......
weixin_33909059的博客
04-28 249
来源于crm项目的contact/edit.html 一、背景是这样的 最近在做crm系统的前端页面,有一个页面呢,点击“查看全部信息”时会弹出,这个弹窗里面又有分页导航,分页不是使用ajax 异步刷新请求写的,而是通过刷新页面。由于整站的分页都是使用这个方法,所以不可能让后端同事用ajax重写一个分页,所以呢,就想到使用iframe框架,把这个弹窗写在html文件,放在iframe中完成。一...
iframe跨域问题:Uncaught DOMException: Blocked a frame with origin解决方法
weixin_30849403的博客
11-07 2万+
在前后端分离的情况下,前台页面将后台页面加载在预留的iframe中;但是遇到了iframe和主窗口双滚动条的情况,由此引申出来了问题:   只保留单个滚动条,那么就要让iframe的高度自适应,而从主页面显然直接取不到iframe的值,因为这是跨域的(前台页面与后台页面不在同一个IP地址或者同一个端口),尝试访问会报错:   Blocked a frame with origin "http:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值