跨域iframe高度自适应_跨域(cross domain)

最新推荐文章于 2023-07-10 17:12:08 发布
最新推荐文章于 2023-07-10 17:12:08 发布
阅读量168 收藏
点赞数
文章标签: 跨域iframe高度自适应

跨域

跨域问题的出现,是因为有浏览器同源策略的存在。

浏览器同源策略

其限制了从同一个源加载的文档或脚本如何与另一个源的资源进行交互,这个策略是一个仲要的安全机制,主要作用是用于隔离潜在的恶意文件。

同源

具有相同的协议,主机和端口(若指定)。

源的继承

在页面中使用 about:blank 或者 javascript: 的时候,URL执行的脚本会继承已经打开的URL的文档源,因为这类URLs没有明确包含有关原始服务器的源信息。例如: about:blank 通常作为父脚本写入内容的新建空白窗(通过Window.open()机制)。如果弹窗包含 javascript 代码,则这些代码继承于那些创建它的脚本相同的源。

IE例外:涉及到同源策略的时候IE主要有两个例外,一个是授权区间(两个相互之间高度互信的域名,例如公司域名,不遵守同源策略的限制),二是端口(IE未将端口号加入到同源策略的组成部分,因此端口号不同被认为是同源),这些例外是非标准的并且不被任何话浏览器支持

源的更改

document.domain语法

var domainString = document.domain;
document.domain = string;

页面因为一些限制缘故可能会更改它的源。 document.domain 脚本可用于设置其当前域名或者当前域的父域名的值,如果设置了当前域的父域名,则较短的父域名用于同源策略检测。

例如:在 http://store.company.com/dir/other.html 执行脚本 document.domain = "company.com"; 之后, http://company.com/dir/page.html 执行脚本 document.domain = "company.com";就可以通过同源检测,但是 company.com不能设置document.domain 为 othercompany.com,因为这不是 company.com的父域名。

端口号会被浏览器单独检测,任何对 document.domain的赋值,包括 document.domain=document.domain,都会导致端口号被重写为null。因此,其中一个带端口号的域名(http://company.com:8080)仅仅的设置 document.domain="http://company.com"; 不能与不带端口号的域名(http://company.com)进行通信。双方都必须对document.domain的赋值,以致于端口号都会变成null。

注意:当使用 document.domain允许一个子域名去安全地访问父域名的时候,需要将子域名和父域名两边的 document.domain设置为相同的值。即使都进行对document.domain赋值会将父域名单单的设置回原来的初始值,这也是很有必要的。如果不这么做可能会引起权限错误的问题。

跨源的网络访问

同源策略控制了不同源之间的交互,例如在使用 XMLHttpRequest 或者<img>元素标签的时候,这些交互一般会被分为三类:

  1. 允许跨源写操作,例如链接,重定向,表单提交,还有一些需要添加预检的HTTP请求。
  2. 允许跨源资源嵌入。
  3. 不允许跨源读操作,但通常可以通过内嵌来资源进行读操作,例如,可以读取内嵌图片的规模大小,内嵌脚本的路径(方法)。

以下是可能嵌入跨源的资源样式示例:

  • JavaScript的<script src="..."></script>标签,语法错误仅仅会在同源脚本中才会被检测
  • CSS的标签<link ref="stylesheet" href="...">
  • 图片标签<img>
  • 视频播放标签<audio>和<video>
  • 嵌入插件<object>,<embed>和<applet>
  • 字体@font-face,一些浏览器支持跨源一些支持同源
  • <frame>和<iframe>载入的任何资源。站点可以使用X-Frame-Options消息头来阻止这种跨源载入

CORS是HTTP的一部分,用于让服务器指定哪些主机是被允许从服务器加载资源的。

阻止跨域写操作

  1. 阻止跨源写操作,在请求中检测到一个不可测的token,通常被称为跨站伪造请求,必须依靠这个token来阻止跨源页面的读操作。
  2. 阻止跨源都区资源操作,确保这些资源是不可嵌入的。通常都有必要阻止嵌入,因为嵌入一个资源总是会泄露一些关于它的信息。
  3. 阻止跨源嵌入,确保你的资源不能是以上列出的可嵌入样式的任意一个,浏览器可能不会遵守Content-Type消息头。比如说:如果你在HTML文档中指定一个<script>标签,浏览器会尝试将HTML解析为JavaScript,当你的资源不是你站点的入口点,可以使用CSRF token来阻止嵌入

跨源脚本API访问

JavaScript的APIs中,例如:iframe.contentWindow , window.parent , window.open 和 window.opener , 允许所有文档相互间直接引用。当两个文档源没有相同的源的时候,这些引用将提供非常严格的访问方式给window和location的对象。

在不同源的两个文档对象要交互时,要使用window.postMessgae

详细请参照:

Same-origin policy​developer.mozilla.org
f9594f30fd69a79eaec3a9cbe701b762.png
weixin_39625468
关注
webmagic采集CSDN的Java_WebDevelop页面
hepanlaurence的专栏
05-23 1万+
使用webmagic采集博客类的网站示例
跨域iframe高度自适应
weixin_33797791的博客
08-12 175
1. 跨子域的iframe高度自适应 2. 完全跨域iframe高度自适应   同域的我们可以轻松的做到 1. 父页面通过iframe的contentDocument或document属性访问到文档对象,进而可以取得页面的高度,通过此高度值赋值给iframe tag。 2. 子页面可以通过parent访问到父页面里引入的iframe tag,进而设置其高度。   但跨域的情况则不允...
完美解决跨域iframe高度自适应
05-25
完美解决跨域iframe高度自适应,完美解决跨子域iframe高度自适应,嵌入几个页面解决跨域iframe高度自适应。。。
iframe高度宽度自适应(转)
weixin_34200628的博客
05-27 233
 http://www.cnblogs.com/snandy/p/3900016.html 跨子域的iframe高度自适应 完全跨域iframe高度自适应   同域的我们可以轻松的做到 1. 父页面通过iframe的contentDocument或document属性访问到文档对象,进而可以取得页面的高度,通过此高度值赋值给iframe tag。 2. 子页面可以通过pa...
Iframe 跨域高度自适应
最新发布
時雨的博客
07-10 479
一开始想直接在iframe加载完成后读取子页面的doc中body的高度,结果发现有跨域问题,无法获得子页面的具体信息,后面在网上寻找各种解决方案,有很多是没有用的,甚至直接没考虑跨域的,最后找到一种方便而且使用的方法:子页面发送消息给父页面,父页面监听消息。父页面存在一个iframe标签加载https://moments.shiyu.dev/friends 这个子页面,而且父子页面不在同一个域上,所以父页面在加载完成iframe后创建事件监听,监听子页面发来的消息(高度)。
iframe cross domain
weixin_34358092的博客
01-22 232
http://blog.cakemail.com/the-iframe-cross-domain-policy-problem/ 转载于:https://www.cnblogs.com/dmdj/p/4241689.html
iframe 跨域高度自适应
Lucky050866的博客
03-28 1008
这个iframe的问题,在工作中简直就是突然的一到坎,打的戳不及防。通常很久遇到一次,每次遇到就忘记了上一次是如何解决的,emmmm…今天本仙女去总结一下。 在实际应用中,很多时候通iframe引入页面,如果同域情况,可以使用以下代码。 script: window.function(){ var ifm= document.getElementById(“iframepage”); var su...
iframe跨域高度自适应例子源码
01-13
标题"iframe跨域高度自适应例子源码"指的是一个实例,展示了如何在跨域的情况下使`iframe`内容自动调整高度以适应其内部内容。这个例子提供了一个在线演示(http://okiner.cn/demo/cross-domain/iframe.html)以及源...
iframe-loader:创建一个iframe \ html5方法postMessage \跨域
05-10
the iframe communicates with its father page,cross domain supported(支持iframe和父页面跨域通信(全屏、高度自适应、滚动监听等) use html5 method postMessage how to use(使用) parent.html(父页面) &...
跨域访问实现
01-08
4. **IFrame跨域通信**:在描述中提到了通过IFrame实现高度自适应,这是解决嵌入子系统页面时,IFrame内容动态变化导致的页面高度不匹配问题。IFrame跨域通信可以使用`window.postMessage`方法,通过事件监听和...
跨域 iframe 实例 (Cross-Domain Javascript execution library)
03-31
NULL 博文链接:https://justcoding.iteye.com/blog/1374728
iframe-cross-domain-demo
08-21
用postMessage解决跨域问题的完整demo,下载后通过node启动可直接测试,使用前请仔细阅读readme文件 可参考博客:https://blog.csdn.net/github_39274378/article/details/81671363
IFrame跨域高度自适应实现代码
09-05
最近在做项目中,遇到一个问题,就是iframe高度自适应问题,以下是解决办法
cross-domain:通过三层Iframe嵌套实现JS跨域访问
06-11
使用在iframe中内嵌一个动态生成的指向与父页面同域的iframe实现跨域 文件列表 A域(父页面)中的文件 cross_domain_transfer.html 实现跨域的关键文件,B域要指向的目标跨域跳转页面URL ; Parent.html A域示例页面,内嵌iframe指向B域 。 B域(子页面)中的文件 crossdomain.js 实现跨域的关键文件,用于动态生成跳转的iframe; var crossDomain = new CrossDomain('<A>/cross_domain_transfer.html'); //初始化跨域类,传入目标域的跨域跳转页面URL crossDomain.visit(' parent.somefunction(args...)'); iframe.html B域示例页面,嵌入到A域Parent.html的iframe
2023高薪前端面试题(一、前端基础——HTTP/HTML/浏览器)
iaz999的博客
04-29 3264
语义化就是构成HTML结构的标签要有意义。比如有这样的标签:header表示页面头部main表示页面主题footer表示页面底部那么这些标签构成的HTML结构就是有意义的,也是语义化的。​ 如果说页面的头部、主体以及底部都用div来表示,那么他就不是一个语义化的HTML结构了。
iframe跨域高度自适应
逍遥法外
03-20 651
前言:A域名下main.html页面通过iframe嵌入 B域名下的demo.jsp页面, demo.jsp是动态高度会有变化 A.http://www.9tour.cn/php/x2/www/piaowu.php main.html中 qq  agent.html function pseth(){ var iObj = parent.parent.document.g
跨域iframe自适应高度
weixin_34019144的博客
11-01 68
为什么80%的码农都做不了架构师?>>> ...
跨域iframe高度自适应_最直白的跨域讲解,速速收藏,以后不要再问我跨域的问题了...
weixin_39944074的博客
11-23 112
作为一名敬业的搬砖者,励志扫荡一切bug,让测试没办法搞事情。今天,测试妹子提了一个Bug,内容是这样的:Nginx配置了2个设备IP,可访问接口时,只能展示其中一个设备的数据。原来是跨域的问题哦,测试妹子问:什么是跨域?我心中欢喜:哈哈,是时候展现真正的技术了!要弄清楚跨域,先看看为什么出现跨域问题。浏览器的同源策略为了消除测试的疑惑,先给测试妹子说了说浏览器的同源策略。官方说明:同源策略限制了...
跨域iframe高度自适应解决方案详析
"在前端开发中,经常遇到的问题之一是跨域IFrame高度自适应问题。由于浏览器的同源策略限制,来自不同域的IFrame无法直接获取其内部文档的高度,这在实现动态内容同步或者高度调整时造成了困扰。本文将介绍一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值