我目前正在尝试打包一个 Web 应用程序 (ConnectWise) 以包含在我公司的中央 Intranet 站点中。大多数情况下,这是一个相当简单的过程;创建一个包含 iframe 的页面,将 iframe 指向 ConnectWise url。这部分适用于几乎所有功能。
问题出现在应用程序的某些特定功能(在本例中是创建时间表条目过程的一部分)中,这些功能根本无法工作。 Chrome 给出以下控制台输出。
Uncaught SecurityError: Failed to read the 'frame' property from 'Window': Blocked a frame with origin "https://app.example.com" from accessing a frame with origin "https://host.example.com". Protocols, domains, and ports must match.我知道这是由跨站点和同源策略的安全选项引起的。鉴于以下几点,有没有办法克服这个问题?
https://host.example.com有完全控制权
https://app.example.com有部分控制权
我尝试在每个服务器上设置
Access-Control-Allow-Origin*https://app.example.comhttps://host.example.com*https://host.example.comhttps://app.example.com编辑:
这个“重复”问题的解决方案在这里不适用。我无权有权更改 iframe 页面的文件内容(包括 javascript)(
app.example.comCORS 标头(例如
Access-Control-Allow-Origin但是,如果它们位于同一域但不同的子域,则您可以在每个页面上包含以下内容:
document.domain = 'example.com';
如果两个文档均已设置,则允许一个文档访问另一个文档 document.domain 为相同的值,表明他们的意图 合作
如果
app.example.comscripthost.example.com例如
<script src="https://host.example.com/setup.js"></script>
不,这是不可能的。
Access-Control-Allow-OriginpostMessage这适用于我使用它的所有域。它将传递一个字符串,但不是一个对象。
iframe 域
window.parent.postMessage('mystr','https://parent.domain')
父域
var eventMethod = window.addEventListener ? "addEventListener" : "attachEvent";
var eventer = window[eventMethod];
var messageEvent = eventMethod == "attachEvent" ? "onmessage" : "message";
eventer(messageEvent,function(e) {
var key = e.message ? "message" : "data";
var data = e[key];
if(data=="mystr"){console.log(mystr)}
},false);