Chrome 又搞事情,​document.domain跨域直接废了

最新推荐文章于 2023-11-01 15:53:29 发布
最新推荐文章于 2023-11-01 15:53:29 发布
阅读量6.3k 收藏 4
点赞数 3
文章标签: css html java html5 web
原文链接:https://mp.weixin.qq.com/s?__biz=MzAxODE4MTEzMA==&mid=2650097940&idx=1&sn=3ef5be325f9e47ab4f5e42e7f52d157e&chksm=83dbd471b4ac5d67da7e1558c2876b2698b6518ba19e5c8ae487796d6fa2adb4e2a72db34b14&scene=126&&sessionid=0
版权

大家好,我是 漫步 ,今儿个又给大家来分析浏览器策略了~

关注公众号 前端开发博客,回复“加群”

加入我们一起学习,天天进步

天天出新策略,业务都要改废了 ...

一句话描述

document.domain 将变为可读属性。

别着急,预计最早变化时间是 Chrome 101 版本,现在最新版是 97

对我们有啥影响?

如果你的业务里有通过更改 document.domain 来进行跨域的场景,马上就芭比Q了,得快点进行改造了。

document.domain 是咋跨域的?

跨域老生常谈的话题了,大家应该都清楚的很,再来啰嗦一遍。

简单的说:

如果网页的:协议、域名、端口 有一个不一样,它们的资源无法互相访问。

我们通过了一些手段,可以绕过这个限制,让非同源的资源也能互相访问,这就是跨域。

那么用  document.domain 之前是咋跨域的呢?

假如我们有这样一个场景:

我们在一个页面 https://a.conardli.com 嵌入了一个 iframe 页面 https://b.conardli.com。它们的二级域名都是 conardli.com

这时候,因为浏览器的同源策略限制,我们主页面和 iframe 肯定是无法通信的。

b97bdf3da1144df58051a4c8baa2c6ce.png

但是,当两个页面的 document.domain 都设置为 conard.com 也就是二级域名的时候,浏览器就将两个来源视为同源。

这时候主页面就可以和 iframe 进行通信了(比如访问 iframedocument)。

e12f51ba5fac6b7999bb4383e4334c0f.png

另外,还有个场景,我们本地调试的时候可能经常会用到:相同域名、不同端口间的跨域。

比如,上面两个网页,在还没上线的时候,可能我们这时候要在本地调试功能,可能把它们部署在本地的不同端口上:

  • http://localhost:8888/

  • http://localhost:6666/

默认情况下它俩肯定也是不能跨域通信的,这时候我们可以把它们的 document.domain 都设置为 localhost,就可以跨过端口不同的限制了。

用的好好地,为啥要禁用捏?

不安全呀。

f506448dec985ec02b0a13a0ed620cfb.png

你觉的二级域名一样的域名一定属于同一个业务吗?

那可不一定,比如一个第三方的页面托管服务,它可能只有一个二级域名 xxx.com

不同的个人用户使用它的服务的时候可以定制自己的域名。小明.xxx.com小花.xxx.com

这时候,这种跨域的方式就可能被滥用了。

所以,Chrome 决定要禁用掉它。

有啥替代方案啊?

不慌,还有 postMessage

c7c4e3cb9e272c84683dfc2535829424.png

大多数场景里面, postMessage()Channel Messaging API 都可以替代 document.domain

主页面:https://a.conardli.com

// 给 https://b.conardli.com 发消息
iframe.postMessage('哈喽', 'https://b.conardli.com');

// 接收信息
iframe.addEventListener('message', (event) => {
  // 把不想要的信息过滤掉
  if (event.origin !== 'https://b.conardli.com') return;

  if (event.data === 'succeeded') {
    // 干点别的 ...
  }
});

iframe 页面:https://b.conardli.com

// 接收信息
window.addEventListener('message', (event) => {
  // 拒绝掉乱七八糟的信息
  if (event.origin !== 'https://a.conardli.com') return;
  
  // 恢复消息
  event.source.postMessage('succeeded', event.origin);
});

我就想用 document.domain 咋整?

可能你的网站改造起来有点麻烦,或者你对 document.domain 情有独钟?

给你的网页增加下面这个 Header 就可以了:

Origin-Agent-Cluster: ?0

但是,Origin-Agent-Cluster 这个 Header 的作用可不止于此,有了解的小伙伴可以在评论区告诉我,没有的话我就挖个坑下回给大家讲讲。

参考

  • https://developer.chrome.com/blog/immutable-document-domain/

 
 
推荐阅读
 
 
不常见但是有用的 Chrome 调试技巧
 
 
可能是最好的跨域解决方案了
 
 
Chrome 上开发调试的九个技巧
 
 
52541f900ad22ffef39e5abf8c395582.png
 
 
关注前端开发博客,每日分享干货!
 
 
关注前端开发博客,在后台回复以下关键字可以获取资源。
 
 
  1. 回复「小抄」,领取Vue、JavaScript 和 WebComponent 小抄 PDF
  2. 回复「Vue脑图」获取 Vue 相关脑图
  3. 回复「思维图」获取 JavaScript 相关思维图
  4. 回复「简历」获取简历制作建议
  5. 回复「简历模板」获取精选的简历模板
  6. 回复「加群」进入500人前端精英群
  7. 回复「电子书」下载我整理的大量前端资源,含面试、Vue实战项目、CSS和JavaScript电子书等。
  8. 回复「知识点」下载高清JavaScript知识点图谱
 
 
49e4e9d19e9671dbbe7be4bf1d83c8c0.png
 
 
 👍🏻 点赞 + 在看 支持小编
 


                

        

        

        

    




    

      

        

            

              
                
                  前端开发博客
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    4
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
Web前端黑客技术揭秘(Web2Hack.org)_(i)7.6.5 跨子域:document.domain技巧1

				
			

			

				

					08-03
				

			

		

		

			
				
例如,在Chrome下,通过设置`document.domain='com'`,理论上可以实现对所有以`.com`结尾的域名的跨域访问。这是一个潜在的安全风险,因为这可能让攻击者在没有权限的情况下访问其他子域的数据。  测试样例包括四个...

			
		

	



                

              
                



	

		

			

				
					
HTML5中使用postMessage实现Ajax跨域请求的方法

				
			

			

				

					09-28
				

			

		

		

			
				
1. document.domain+iframe:通过设置document.domain来让两个不同的域具有相同的主域,从而实现跨域通信。 2. 动态创建script标签:通过动态创建script标签并将其src属性设置为跨域地址来实现跨域请求。 3. iframe+...

			
		

	



                


  
              

                


	

		

			

				
					
为什么设置document.domain,跨域依旧报错?

					
最新发布

				
			

			

				

					shuoguobufangqi的博客
				

				

					11-01
					
					1267
					
				

			

		

		

			
				
document.domain相同,为什么也存在跨域问题?document.domain无效?Origin-Agent-Cluster的作用?

			
		

	





	

		

			

				
					
Chrome事情,这种跨域方案要被禁用了!

				
			

			

				

					小生方勤
				

				

					01-24
					
					510
					
				

			

		

		

			
				
天天出新策略,业务都要改了 ...一句话描述document.domain 将变为可读属性。别着急,预计最早变化时间是 Chrome 101 版本,现在最新版是 97。对我们有啥影响?如...

			
		

	



		

			
		



	

		

			

				
					
关于document.domain的一些解释

				
			

			

				

					hereson
				

				

					03-15
					
					494
					
				

			

		

		

			
				
【全文】
前些天在对公司原有的 web 应用进行改版时遇到一个问题,当时需要从原有的应用中提取出一部分,用一个更为通用的来进行替换,并且仍然保留原有的应用接口。原有的应用属于 news.mycompany.com 域,而新应用将被部署到upload.mycopany.com。当我试着从新的域向 news.mycompany.com 传递数据时,在前台遇到了浏览器返回的“拒绝访问(Access D...

			
		

	





	

		

			

				
					
Chrome:将禁用修改document.domain以放宽同源策略

				
			

			

				

					李dayday
				

				

					01-15
					
					3363
					
				

			

		

		

			
				
你好,我是tiantian。几天前,Chrome developer 博客发布了这么一篇文章:大致意思是,Chrome未来将禁用修改document.domain,如果你的网站依赖于设置d...

			
		

	





	

		

			

				
					
奇舞周刊第 489 期:  Chrome 112:CSS 支持嵌套语法、document.domain 正式禁用!

				
			

			

				

					奇舞周刊
				

				

					04-07
					
					328
					
				

			

		

		

			
				
记得点击文章末尾的“阅读原文”查看哟~下面先一起看下本期周刊摘要吧~奇舞推荐■ ■ ■Chrome 112:CSS 支持嵌套语法、document.domain 正式禁用!Chrome 112 版本在 4.4 号发布了,我来带大家一起看看有哪些值得关注的更新用 ChatGPT 开发一个能听懂人话的命令行工具你是否经常会经常忘记某个命令行工具的参数该怎么写?正确的顺序是什么?或者是 gi...

			
		

	





	

		

			

				
					
easyXDM.zip_opera_跨域

				
			

			

				

					09-19
				

			

		

		

			
				
标题中的“easyXDM.zip_opera_跨域”暗示了这是一个关于JavaScript库easyXDM的压缩包,专门针对Opera浏览器的跨域通信问题。easyXDM(Easy Cross Domain Messaging)是一个开源JavaScript库,旨在解决Web应用程序中...

			
		

	





	

		

			

				
					
JS跨域访问解决方案总结[参照].pdf

				
			

			

				

					10-11
				

			

		

		

			
				
如果两个页面的主域名相同,则还可以通过设置 document.domain 属性将它们认为是同源的。  二、跨域资源共享规范  跨域资源共享规范提供了一种更安全的跨域数据交换方法。该规范可以应用在类似 XMLHttprequest 这样...

			
		

	





	

		

			

				
					
UEditor 编辑器跨域上传解决方法

				
			

			

				

					10-27
				

			

		

		

			
				
具体来说,在Chrome和Firefox浏览器下设置document.domain即可解决跨域问题,但是在IE浏览器下,需要在编辑器的editor.js文件中找到特定代码段,并加入JavaScript代码来在IE中动态地修改document.domain属性。...

			
		

	





	

		

			

				
					
通过document.domain实现跨域访问

					
热门推荐

				
			

			

				

					拈花的专栏
				

				

					03-10
					
					4万+
					
				

			

		

		

			
				
由于JavaScript同源策略的限制,脚本只能读取和所属文档来源相同的窗口和文档的属性。

对于已经有成熟产品体系的公司来说,不同的页面可能放在不同的服务器上,这些服务器域名不同,但是拥有相同的上级域名,比如id.qq.com、www.qq.com、user.qzone.qq.com,它们都有公共的上级域名qq.com。这些服务器上的页面之间的跨域访问可以通过document.domain来进行...

			
		

	





	

		

			

				
					
JavaScript中的document.domain问题

				
			

			

				

					LuckXinXin的博客
				

				

					11-12
					
					233
					
				

			

		

		

			
				
该方式只能用于主域名相同的情况下,比如 a.test.com 和 b.test.com 适用于该方式。
只需要给页面添加 document.domain = 'test.com' 表示主域名都相同就可以实现跨域




			
		

	





	

		

			

				
					
使用document.domain跨域实例

				
			

			

				

					
				

				

					05-29
					
					146
					
				

			

		

		

			
				
 
      Ajax跨域一直是个比较麻烦的问题,例如:断桥残雪在一个项目中使用了open打开一个跟父窗口不同域名的新页面,结果子窗口就不能传值给父窗口了;再如:我在www.2fool.cn下不可以获取love.2fool.cn域名下的页面内容。浏览器的跨域限制是为了安全,可是当我们想要在一个域名下请求另外一个域名的内容的时候就感觉不那么爽了。
我在WordPress天气插件、滔滔API接口...

			
		

	





	

		

			

				
					
document.domain详解

				
			

			

				

					lishundi的博客
				

				

					09-19
					
					2961
					
				

			

		

		

			
				
不同的页面资源可能放在不同的服务器程序上面,这些服务器域名不同,但都有相同的上级域名,比如id.qq.com和www.qq.com,它们都有相同的上级域名qq.com。可以手动将它们的document.domain设置相同,这样的话它们就处在同域名的服务器上,如果它们的协议、端口再一样的话,那它们之间就可以跨域访问。







只适合两个iframe之间的跨域

iframe的优点:内联框架...

			
		

	





	

		

			

				
					
JS |  同源策略 & Document.domain

				
			

			

				

					GC怪兽的Blog
				

				

					04-19
					
					518
					
				

			

		

		

			
				
什么是源
如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源。我们也可以把它称为“协议/主机/端口 tuple”,或简单地叫做“tuple". (“tuple” ,“元”,是指一些事物组合在一起形成一个整体,比如(1,2)叫二元,(1,2,3)叫三元)
什么是同源策略?
同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.co...

			
		

	





	

		

			

				
					
document.domain ajax,用document.domain完美解决Ajax跨子域 (转)

				
			

			

				

					weixin_28729173的博客
				

				

					08-06
					
					285
					
				

			

		

		

			
				
利用Ajax跨域加载的内容是位于work.js8.in域名下的helloworld.txt。我们需要在主页面中设置document.domain为js8.in,然后主页面添加一个iframe,src为域名work.js8.in下的一个url,在iframe页面中同样设置document.domain为js8.in,同时iframe中需要添加Ajax的函数,例如引入jQuery.js。用docume...

			
		

	





	

		

			

				
					
跨域异常】跨域解决方案之----通过document.domain实现跨域访问

				
			

			

				

					No8g攻城狮的博客
				

				

					07-06
					
					3923
					
				

			

		

		

			
				
跨域问题产生的原因

Javascript出于对安全性的考虑,而禁止两个或者多个不同域的页面进行互相操作。相同域的页面在相互操作的时候不会有任何问题。
我们在用跨域的时候。大部分都在知道哪些问题是跨域问题,也知道怎么解决。但是就是具体解决,或者说最终解决,都不理想,或者最终解决不了。
解决方案,大部分人都会回答,document.domain、jsonp、iframe,只是不知道具体怎么去解决。
...

			
		

	





	

		

			

				
					
document.domain解决跨域

				
			

			

				

					03-08
				

			

		

		

			
				
问题:document.domain解决跨域。

回答:是的,document.domain可以用于解决跨域问题。当两个页面的域名相同,但是它们的子域名不同,可以通过设置document.domain为相同的值来实现跨域通信。但是,如果两个页面的域名不同,就需要使用其他的跨域解决方案,比如JSONP、CORS等。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值