same-origin-policy相关内容
我有一个包含iframe的页面。 iframe的页面和来源位于不同的域中。在iframe中,我使用了一个名为CuteEditor的富文本编辑器(结果证明它不那么可爱)。 CuteEditor中有一些javascript函数试图访问“文档”,但浏览器拒绝访问,因为它们不在同一个域中。 这是确切的错误: 访问属性'document'的权限被拒绝 http://dd.byu.edu/plu
..
我试图拦截点击页面上的链接,包括iframe内的链接。这是我的代码,但它不起作用。任何想法我需要做什么? $(“#container”)。delegate('a','click', function(e){ // do stuff } Container is the iframe里面的div的ID。 提前感谢任何建议 解决方案 您需要进入
..
我需要在我的网站上提供用户提交的脚本(有点像 jsfiddle )。我希望脚本能够以安全的方式在访问者浏览器上运行,与它们所服务的页面隔离。由于代码是由用户提交的,因此无法保证它是值得信赖的。 现在我可以想到三个选项: 在来自其他域的iframe中投放用户提交的内容,并依赖于同源策略。这需要设置一个我想尽可能避免的额外域名。我相信这就是jsfiddle的做法。该脚本仍然可以造成一些损害
..
基本上我想要一个iFrame,它总是限制它的内容,好像它来自不同的域,即使内容来自同一个来源。 是有没有办法做到这一点? 解决方案 这将隐藏 window.parent 在子框架/窗口中,但不是顶部属性。 但 window.parent 属性是STILL可访问的,直到子窗口/框架的onload事件结束。 < HTML>
..
我一直在调查破帧代码,并且遇到了与相同来源相关的一些非常奇怪的行为政策,我无法理解。 假设我在域A上有一个Breaker.html页面,在域B上有一个页面Container.html示例帧断路器代码将进入Breaker.html,如下所示: if(top!== self)top。 location.href = self.location.href; 这将成功破坏B
..
以下是此交易: domain.com/page - 父页面(document.domain = domain.com)包含iframe 子。 domain.com/page - 子iframe(document.domain =未设置)位于子域 有没有办法访问该iframe的DOM或我是运气不好? 同一个原始政策会阻止我在父页面中包含的iframe上强制使用document.d
..
我正在使用 Knockout.js 绑定iframe src 标签(这可以根据用户进行配置) 。 现在,如果用户已配置 http://www.google .com (我知道它不会加载到iframe,这就是为什么我将它用于-ve场景)并且必须在IFrame中显示。 但它会引发错误: - 拒绝显示' http://www.google.co.in/ 在一个框架中,因为 将'X-Fra
..
我在我的HTML页面中加载 并尝试使用Javascript访问其中的元素,但当我尝试执行我的代码时,我得到了以下错误: SecurityError:阻止了一个原始框架“http://www.< ; domain> .com“访问跨源框架。 您能帮我找一个解决方案,以便我可以访问框架中的元素吗? / p> 我使用此代码进行测试,但是徒劳无功:
..
我想使用jQuery在iframe中操作HTML。 我以为我可以通过将jQuery函数的上下文设置为是iframe的文档,例如: $(function(){//文件准备好 $( 'some selector',frames ['nameOfMyIframe']。document。.doStuff() }); 然而这似乎不起作用。一点检查告诉我, frames ['
..
我正在构建一个Chrome扩展程序,我在Gmail主页的弹出窗口中显示iframe。由于Gmail主页采用HTTPS格式,因此我的iframe也应采用https格式。我通过启用mod_ssl配置了apache2,并在apache2上运行了HTTPS。我制作了一个原生的PHP页面,并尝试在Gmail页面上的框架上显示该页面。我没有遇到从localhost加载页面的问题。但是当我想使用Laravel后
..
MDN在内容安全政策方面表示: 如果网站不提供CSP标头,浏览器同样使用 标准同源政策。 https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP 我的网站没有定义任何CSP标题,仍然允许从谷歌,adobe等加载脚本。这与MDN上述声明有什么关系?如果相同的原始策略是默认的,那么来自外部源的脚本如何被允许执行? 解决方案
..
我正在尝试从 iFrame src加载的其中一个js文件中访问父对象。页面和 iFrame src位于不同的域中。由于网络安全和相同的原始政策,我得到“未捕获的安全错误: 阻止带有来源的框架”http://example.com:1211“访问交叉原始框架“。 需要访问父对象并设置为iFrame变量之一。所以,我失去了 window.postMessage()的选项。有什么方法可以解决这个问
..
我想在用户端创建数据,并让其他网址的JavaScript也可以访问它。我知道相同的原产地政策,但我想知道是否有可能创造一些例外情况。或者,是否有任何可以使用的技巧/功能? 解决方案我知道的最佳技巧是使用iframe和 postMessage API可以从外部域访问localStorage。 这个技巧很简单: 您必须将iframe创建到您要从中获取数据的域 您的数据域需要收听 me
..
我一直在阅读具有不同域名的iframe,然后是父文件,我有点困惑。 据我所知,如果Iframe来自与其父文档相同的域,则父文档可以访问iframe的文档。我似乎可以通过以下黑客来绕过这个问题: 我在 mydomain.com上设置了一个Web服务器 我从 mydomain.com/index.html 我在我的网络服务器上为 mydomain.com/othersite - >设置
..
..
有人可以帮助我更好地理解同源政策。我已经看过几个网站描述它,但我正在寻找一个更简单的解释,你会如何描述它给一个孩子? 这 link 似乎做了我找到的最好的工作。谁可以扩展?有人可以解释为什么这个政策存在吗? 解决方案 需要同源策略来防止 CSRF 。想象一下这种情况: 银行经理Joe Fatcat在他的银行的管理后台上有一个账户。这个账户可以让他访问在TBtF银行开户的任何人的
..
我已经看过关于这个主题的文章和帖子(包括SO),而主要的评论是同源策略阻止跨域的表单POST。我见过某人的唯一地方表明,同源政策不适用于表格帖子,在这里。 我想要一个来自更“官方”或正式来源的答案。例如,有没有人知道解决同源问题如何影响表单POST的RFC? 澄清:我不是询问是否可以构建GET或POST并将其发送到任何域。我询问:如果Chrome,IE或Firefox允许来自域“Y”的
..
我的问题是臭名昭着的“StatusCodeException:0” https://sub.site.com/ 访问页面时,使用 GWT 2.6.1 时会出现问题。 现在,对于一个客户,使用IE11和我无法复制从几个不同的计算机使用IE11,IE10,IE9或IE8(不要谈论Chrome或Firefox)。 从 https访问完全相同的webapp ://site.com/ 似乎对该客
..
(如果需要,请参阅 我正在开发一个应用程序,该应用程序使用解耦的前端应用程序,和后端: 后端是一个Rails应用程序(服务于 localhost:3000 ),主要提供了一个REST API。 前端是一个AngularJS应用程序,我使用Gulp构建并在本地服务(使用 BrowserSync ) localhost:3001 。 为了让两端互相交流,同时遵守同源策略,我配置ng
..
我有一个使用Google Drive API的JavaScript应用程序。我阅读了如何在此处打开标准共享对话框: https://developers.google.com/ drive / web / manage-sharing ...
..