问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

错误:访问属性“文档”的权限被拒绝

社区维基
1
新手上路,请多包涵

我有一个 HTML 文档,其中包含 iframe 。每当我尝试使用 JS 访问或修改 iframe 时,我都会得到 Error: Permission denied to access property "document"

我正在使用 frame.contentWindow.document.body.innerHTMLframe.contentWindow.document.body.onload 或类似的此类属性来访问或修改 iframe 。 (在给定的代码中 iframe 被称为 frame 。)

对于我正在开发的网络应用程序,访问这些属性是必要的,我不能没有这些(或类似的替代方案)。

原文由 sbrm1 发布,翻译遵循 CC BY-SA 4.0 许可协议

Stack Overflow 翻译javascripthtmliframexssaccess-control
阅读 634
2 个回答
得票最新
社区维基
1
✓ 已被采纳

即使您无权访问接收窗口的标题部分,您仍然可以在 YQL 的帮助下绕过此问题。使用 Postmessage 方法,您还需要编辑收件人窗口脚本。但是使用这种方法,您可以加载任何 iframe,而无需触及它们的脚本。看一下这个!

 <html>
<iframe src="https://google.com/" width="500" height="300"></iframe>

<script>
var iframe = document.getElementsByTagName('iframe')[0];
var url = iframe.src;
var getData = function (data) {
    if (data && data.query && data.query.results && data.query.results.resources && data.query.results.resources.content && data.query.results.resources.status == 200) loadHTML(data.query.results.resources.content);
    else if (data && data.error && data.error.description) loadHTML(data.error.description);
    else loadHTML('Error: Cannot load ' + url);
};
var loadURL = function (src) {
    url = src;
    var script = document.createElement('script');
    script.src = 'https://query.yahooapis.com/v1/public/yql?q=select%20*%20from%20data.headers%20where%20url%3D%22' + encodeURIComponent(url) + '%22&format=json&diagnostics=true&env=store%3A%2F%2Fdatatables.org%2Falltableswithkeys&callback=getData';
    document.body.appendChild(script);
};
var loadHTML = function (html) {
    iframe.src = 'about:blank';
    iframe.contentWindow.document.open();
    iframe.contentWindow.document.write(html.replace(/<head>/i, '<head><base href="' + url + '"><scr' + 'ipt>document.addEventListener("click", function(e) { if(e.target && e.target.nodeName == "A") { e.preventDefault(); parent.loadURL(e.target.href); } });</scr' + 'ipt>'));
    iframe.contentWindow.document.close();
}

loadURL(iframe.src);
</script>
</html>

原文由 Gihan Gamage 发布,翻译遵循 CC BY-SA 4.0 许可协议

社区维基
1

访问并修改其他网站 iframe 中的网页被称为 跨站点脚本XSS ,它是恶意黑客用来掠夺毫无戒心的受害者的一种技术。

浏览器制造商实施了名为“同源策略”的策略,以防止此类行为和任意执行 JS 代码。

通过将父文档和 iframe 中的文档托管在同一域和子域中,并确保使用相同的协议加载文档,可以避免此错误。

不兼容页面的示例:

  1. http://www.example.org & http://www.example2.com
  2. http://abc.example.org & http://xyz.example.com
  3. http://www.example.org & https://www.example.com

Cross-Origin Resource Sharing 就是解决这个问题的方法。

例如:

如果 http://www.example.com 想要分享 http://www.example.com/hellohttp://www.example.org ,可以使用如下文档发送标头:

 Access-Control-Allow-Origin: http://www.example.org

要用 HTML 发送它,只需将它放在 <META HTTP-EQUIV="..."> 标签中,如下所示:

 <head>
    ...
    <META HTTP-EQUIV="Access-Control-Allow-Origin" CONTENT="http://www.example.org">
    ...
</head>

原文由 sbrm1 发布,翻译遵循 CC BY-SA 3.0 许可协议

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题