same-origin-policy相关内容

跨域资源共享标头可以授权 X-Domain IFRAME 访问吗?

调整 IFRAME 的高度以匹配其内容页面的高度 可能是一个真正的阻力 当包含页面和内容页面来自不同的域时. 跨域资源共享 (CORS) 标头是否可以让内容页面授权跨域访问其资源,从而允许其包含页面读取其高度?(或者,包含页面授权内容页面宣布其高度?) 还是严格来说 CORS 是 AJAX 的东西? 解决方案 CORS 不允许您这样做,但是您可以使用跨文档消息传递在 ifram ..
发布时间:2021-12-21 22:52:25 其他开发

从父页面访问子 iFrame DOM

这是交易: domain.com/page -- 父页面 (document.domain=domain.com) 包含一个 iframesub.domain.com/page -- 子 iframe(document.domain=not set)在子域上 有什么方法可以访问该 iframe 的 DOM 还是我运气不好? 同源策略是否阻止我在父页面中包含的 iframe 上强制 ..
发布时间:2021-12-21 22:44:06 前端开发

如果 iframe src 无法加载,则捕获错误.错误:-“拒绝在框架中显示“http://www.google.co.in/".."

我正在使用 Knockout.js 绑定 iframe src 标签(这将针对用户进行配置). 现在,如果用户已经配置了 http://www.google.com(我知道它不会在 iframe 中加载,这就是我将它用于 -ve 场景的原因)并且必须在 iframe 中显示.但它抛出错误:- 拒绝在框架因为它将“X-Frame-Options"设置为“SAMEORIGIN". 我 ..
发布时间:2021-12-21 22:31:05 其他开发

Canvas.toDataURL() 适用于除 IE10 以外的所有浏览器

我正在开发一个项目,该项目使用画布自动裁剪图像,然后返回其数据 URL.它使用来自外部服务器的图像,该服务器具有适当的 CORS 标头,允许图像在裁剪后转换为数据 URI,即使它们是跨域的. 该代码在除 IE 10 之外的所有浏览器中都能完美运行(并且没有安全错误!),其中在调用 canvas.toDataURL() 时会抛出“SCRIPT5022: SecurityError". 这 ..
发布时间:2021-12-21 08:46:05 其他开发

同源策略如何应用于浏览器扩展?

鉴于浏览器扩展程序将信息从一个网页发送到完全不同的服务器,这是否违反了同源策略? 解决方案 同源策略 (SOP) 适用于普通网页,而不是浏览器扩展,即使它们是用 JavaScript 编写的.当扩展代码不是来自服务器时,“不同的服务器"是什么意思?(扩展脚本可能有某种来源,如 chrome-extension://longhashidentificationstr,但不是传统的域/来源.) ..
发布时间:2021-12-19 14:02:03 其他开发

如何在 Firefox 上启用 CORS

如何在 Firefox 上允许 CORS? 我在 Chrome 和 Internet Explorer 上轻松管理它,但我在 Firefox 上完全失败.我编辑了以下 about:config 条目 security.fileuri.strict_origin_policy = false 此尝试已在此处多次发布,并且在其他网站上也有提及,但没有任何效果.我阅读了关于 同源政策的 Moz ..
发布时间:2021-12-19 13:59:03 其他开发

为什么 CORS 中没有针对标准内容类型的 POST 请求进行预检

我对 CORS POST 请求的安全方面有些困惑.我知道网上丢失了有关此主题的信息,但我无法找到问题的明确答案. 如果我理解正确的话,同源策略的目标是防止 CSRF 攻击,而 CORS 的目标是在(且仅当)服务器同意与托管在其他服务器上的应用程序共享其数据时启用资源共享网站(来源). HTTP 指定 POST 请求不是“安全的",即它们可能会改变服务器的状态,例如通过添加新评论.当使用 ..
发布时间:2021-12-18 14:58:32 其他开发

如何禁用同源策略 Internet Explorer

Chrome 允许我们禁用同源策略,因此我们可以测试跨源请求.我想知道是否有可能在 IE 中做同样的事情 解决方案 是的,您可以在 Internet 选项中进行设置:转到安全选项卡.对于当前区域,单击“自定义级别..."按钮.在下一个窗口中,向下滚动大约三分之一到“杂项 > 跨域访问数据源"并将其设置为“启用".如果当前区域是 Internet,则应将该站点添加到受信任区域,并为受信任区域 ..
发布时间:2021-12-18 12:42:09 其他开发

嵌入到 iFrame 中时不会加载 Google Apps 脚本

我正在尝试将我的 Google Apps Script WebApp 嵌入到另一个域上的 iFrame 中,但 Web 应用程序未加载,我只看到白屏.webinspector 中也没有错误. Web 应用程序发布为:作为 me 执行并且访问具有给定域内的任何人. 根据 this 我像这样实现我的 doGet 方法: function doGet(e) {返回 HtmlService. ..
发布时间:2021-12-15 22:39:00 其他开发

如何使 BrowserSync 与 nginx 代理服务器一起工作?

(如果需要,请参阅 我的最后一个问题 了解更多背景信息.) 我正在开发一个使用分离的前端和后端的应用程序: 后端是一个 Rails 应用(在 localhost:3000 上提供服务),主要提供 REST API. 前端是一个 AngularJS 应用程序,我使用 Gulp 构建并在本地提供服务(使用 BrowserSync) 在 localhost:3001 上. 为了让两端 ..
发布时间:2021-12-13 22:27:54 其他开发

禁用 Firefox 同源策略

我正在开发一个本地研究工具,它要求我关闭 Firefox 的同源策略(在脚本访问方面,我并不真正关心跨域请求). 更具体地说,我希望宿主域中的脚本能够访问嵌入页面的任何 iframe 中的任意元素,而不管它们的域如何. 我知道之前的 Q&As 提到了 CORS FF 扩展,但这不是我需要的,因为它只允许 CORS,但不允许脚本访问. 如果不能轻松完成,我也将不胜感激,如果您有任何 ..
发布时间:2021-12-13 09:24:35 其他开发

在 Chrome 中对本地文件使用 iframe

我很难弄清楚如何从外部页面访问 iframe 中加载的页面.两个页面都是本地文件,我使用的是 Chrome. 我有一个外页和许多内页.外页应始终显示内页的页面标题(这在我的应用程序中很有意义,在这个精简的示例中可能不那么有意义).这在 AppJS 中没有任何问题,但我被要求让这个应用程序直接在浏览器中工作.我收到错误“阻止了一个源为“null"的帧访问源为“null"的帧.协议、域和端口必须 ..
发布时间:2021-12-10 15:02:39 前端开发

未捕获的 DOMException:阻止了一个源为“http://localhost:8080"的框架;在页面中列出 iframe 时访问跨源框架

我正在尝试列出页面中所有 iframe 的名称,以便我可以通过 Selenium 访问它们. 问题是 iframe 的名字每次都改变,所以我需要遍历所有的. 我得到: 未捕获的 DOMException:阻止了来源为“http://localhost:8080"的框架访问跨域框架. 当我尝试使用以下方法循环时出错: for (var f = 0; f 有没有办法以不同 ..
发布时间:2021-12-08 16:13:16 前端开发

谷歌浏览器 --allow-file-access-from-files 为 Chrome Beta 8 禁用

我一直在使用 jQuery 和 Microsoft Seadragon 技术开发 AJAX 应用程序. 我需要访问 html5 canvas 函数 toDataURL. 对于谷歌浏览器,同源规则适用于此功能,这意味着本地运行的页面(URL 中带有 file:///)未能满足同源规则,并且抛出异常. 在 Chrome 7 中,使用 --allow-file-access-from-fi ..
发布时间:2021-12-03 12:20:17 前端开发

SecurityError:阻止了一个具有源的框架访问跨源框架

我正在 HTML 页面中加载 并尝试使用 Javascript 访问其中的元素,但是当我尝试执行我的代码时,出现以下错误: SecurityError:阻止了一个源为“http://www..com"的框架访问跨源框架. 你能帮我找到一个解决方案,以便我可以访问框架中的元素吗? 我正在使用此代码进行测试,但徒劳无功: $(document).ready(functio ..
发布时间:2021-11-30 22:07:34 前端开发