Error: Permission denied to access property "document"
Error: Permission denied to access property "document"
我有一个 HTML 文档,其中包含一个 iframe。每当我尝试使用 JS 访问或修改此 iframe 时,我都会得到 Error: Permission denied to access property "document".
我正在使用 frame.contentWindow.document.body.innerHTML 或 frame.contentWindow.document.body.onload 或类似的属性来访问或修改 iframe。 (在给定的代码中,iframe 被称为 frame。)
对于我正在开发的网络应用程序,访问这些属性是必要的,我不能没有这些(或类似的替代品)。
访问并修改其他网站 iframe 中的网页被称为 Cross-site scripting 或 XSS,这是恶意黑客使用的一种技术捕食毫无戒心的受害者。
浏览器制造商实施了名为 "Same-Origin Policy" 的政策,以防止此类行为和任意执行 JS 代码。
可以通过在同一域和子域中托管 parent 文档和 iframe 中的文档,并确保使用相同的协议加载文档来避免此错误。
不兼容页面示例:
http://www.example.org & http://www.example2.comhttp://abc.example.org & http://xyz.example.comhttp://www.example.org & https://www.example.com
Cross-Origin Resource Sharing是解决这个问题的方法。
例如:
如果 http://www.example.com 想与 http://www.example.org 共享 http://www.example.com/hello,可以发送 header 和如下所示的文档:
Access-Control-Allow-Origin: http://www.example.org
要用 HTML 发送它,只需将它放在 <META HTTP-EQUIV="..."> 标签中,如下所示:
<head>
...
<META HTTP-EQUIV="Access-Control-Allow-Origin" CONTENT="http://www.example.org">
...
</head>
您可以使用postMessage
Window 1 - 接收
window.addEventListener("message", receiveMessage, false);
function receiveMessage(event)
{
var origin = event.origin || event.originalEvent.origin;
// For Chrome, the origin property is in the event.originalEvent object.
if (origin !== "http://example.org:8080")
return;
// ...
}
Window - 2 传输
var popup = window.open(...popup details...);
popup.postMessage(
"The user is 'bob' and the password is 'secret'",
"https://secure.example.net"
);
您必须创建另一对才能相互通信。
即使您无权访问接收 window 的 header 部分,您仍然可以借助 YQL 绕过此问题。使用 Postmessage 方法,您还需要编辑收件人 window 脚本。但是使用这种方法你可以加载任何 iframe 而无需触及它们的脚本。看看这个!
<html>
<iframe src="https://google.com/" width="500" height="300"></iframe>
<script>
var iframe = document.getElementsByTagName('iframe')[0];
var url = iframe.src;
var getData = function (data) {
if (data && data.query && data.query.results && data.query.results.resources && data.query.results.resources.content && data.query.results.resources.status == 200) loadHTML(data.query.results.resources.content);
else if (data && data.error && data.error.description) loadHTML(data.error.description);
else loadHTML('Error: Cannot load ' + url);
};
var loadURL = function (src) {
url = src;
var script = document.createElement('script');
script.src = 'https://query.yahooapis.com/v1/public/yql?q=select%20*%20from%20data.headers%20where%20url%3D%22' + encodeURIComponent(url) + '%22&format=json&diagnostics=true&env=store%3A%2F%2Fdatatables.org%2Falltableswithkeys&callback=getData';
document.body.appendChild(script);
};
var loadHTML = function (html) {
iframe.src = 'about:blank';
iframe.contentWindow.document.open();
iframe.contentWindow.document.write(html.replace(/<head>/i, '<head><base href="' + url + '"><scr' + 'ipt>document.addEventListener("click", function(e) { if(e.target && e.target.nodeName == "A") { e.preventDefault(); parent.loadURL(e.target.href); } });</scr' + 'ipt>'));
iframe.contentWindow.document.close();
}
loadURL(iframe.src);
</script>
</html>
我有一个 HTML 文档,其中包含一个 iframe。每当我尝试使用 JS 访问或修改此 iframe 时,我都会得到 Error: Permission denied to access property "document".
我正在使用 frame.contentWindow.document.body.innerHTML 或 frame.contentWindow.document.body.onload 或类似的属性来访问或修改 iframe。 (在给定的代码中,iframe 被称为 frame。)
对于我正在开发的网络应用程序,访问这些属性是必要的,我不能没有这些(或类似的替代品)。
访问并修改其他网站 iframe 中的网页被称为 Cross-site scripting 或 XSS,这是恶意黑客使用的一种技术捕食毫无戒心的受害者。
浏览器制造商实施了名为 "Same-Origin Policy" 的政策,以防止此类行为和任意执行 JS 代码。
可以通过在同一域和子域中托管 parent 文档和 iframe 中的文档,并确保使用相同的协议加载文档来避免此错误。
不兼容页面示例:
http://www.example.org&http://www.example2.comhttp://abc.example.org&http://xyz.example.comhttp://www.example.org&https://www.example.com
Cross-Origin Resource Sharing是解决这个问题的方法。
例如:
如果 http://www.example.com 想与 http://www.example.org 共享 http://www.example.com/hello,可以发送 header 和如下所示的文档:
Access-Control-Allow-Origin: http://www.example.org
要用 HTML 发送它,只需将它放在 <META HTTP-EQUIV="..."> 标签中,如下所示:
<head>
...
<META HTTP-EQUIV="Access-Control-Allow-Origin" CONTENT="http://www.example.org">
...
</head>
您可以使用postMessage
Window 1 - 接收
window.addEventListener("message", receiveMessage, false);
function receiveMessage(event)
{
var origin = event.origin || event.originalEvent.origin;
// For Chrome, the origin property is in the event.originalEvent object.
if (origin !== "http://example.org:8080")
return;
// ...
}
Window - 2 传输
var popup = window.open(...popup details...);
popup.postMessage(
"The user is 'bob' and the password is 'secret'",
"https://secure.example.net"
);
您必须创建另一对才能相互通信。
即使您无权访问接收 window 的 header 部分,您仍然可以借助 YQL 绕过此问题。使用 Postmessage 方法,您还需要编辑收件人 window 脚本。但是使用这种方法你可以加载任何 iframe 而无需触及它们的脚本。看看这个!
<html>
<iframe src="https://google.com/" width="500" height="300"></iframe>
<script>
var iframe = document.getElementsByTagName('iframe')[0];
var url = iframe.src;
var getData = function (data) {
if (data && data.query && data.query.results && data.query.results.resources && data.query.results.resources.content && data.query.results.resources.status == 200) loadHTML(data.query.results.resources.content);
else if (data && data.error && data.error.description) loadHTML(data.error.description);
else loadHTML('Error: Cannot load ' + url);
};
var loadURL = function (src) {
url = src;
var script = document.createElement('script');
script.src = 'https://query.yahooapis.com/v1/public/yql?q=select%20*%20from%20data.headers%20where%20url%3D%22' + encodeURIComponent(url) + '%22&format=json&diagnostics=true&env=store%3A%2F%2Fdatatables.org%2Falltableswithkeys&callback=getData';
document.body.appendChild(script);
};
var loadHTML = function (html) {
iframe.src = 'about:blank';
iframe.contentWindow.document.open();
iframe.contentWindow.document.write(html.replace(/<head>/i, '<head><base href="' + url + '"><scr' + 'ipt>document.addEventListener("click", function(e) { if(e.target && e.target.nodeName == "A") { e.preventDefault(); parent.loadURL(e.target.href); } });</scr' + 'ipt>'));
iframe.contentWindow.document.close();
}
loadURL(iframe.src);
</script>
</html>