Cordovaのクロスドメインファイル：// iframe contentwindowの通信

Question

file://のページとiframeのcontentWindowプロパティを持つリモートホストのiframeでドメイン間通信を行うことができます。私は実行することができますこのページで

<script type="text/javascript" src="cordova.js"></script> 
<iframe id="appframe"></iframe> 

：コルドバをロードとiframeが含まれてい//.../index.html：私は、URLファイルでhtmlページを持っているデバイス上の例えば

IFRAMEをロードし、このようなiframeをページ内のオブジェクトの参照を保存するのjavascript：iframeの内部ページで今

var iframe = document.getElementById("appframe"); 
iframe.onload = function(){ 
    iframe.contentWindow.cordova = window.cordova; 
} 
iframe.src = "http://www.example.com/appframe.html"; 

、http://www.example.com/appframe.html、私は例えば、コルドバの呼び出しを実行することができます。

cordova.exec(null, null, "StatusBar", "hide", []); 

これは予期せず動作し、StatusBar cordovaプラグインのネイティブレイヤーを呼び出し、ステータスバーを非表示にします。

私の質問は：

を使用して、これは安全ですかブラウザの将来のバージョンでは動作しませんハックですか？

iOS 9とAndroid 5デバイスでテストしました。

Answer 1

おそらくconfig.xmlに次のタグがあると思います。ここで説明 https://cordova.apache.org/docs/en/latest/guide/appdev/whitelist/として

<access origin="*" /> 

あなたの代わりにワイルドカードを使用してのプロパティ「起源」の値として使用され、指定されたドメインにクロスドメインポリシーを制限することができます。

ワイルドカード値を使用している場合は、これが望ましい動作になるはずです。

Answer 2

私はアンドロイドどのように断片化され、どのように痛みを伴うが、下記4.3との後方互換性可能性に注意してください（デバイス間で矛盾が発生する可能性があり、MDNで説明したように、フレーム間で通信する安全な方法がpostMessageであると信じている別の方法でそれを行います）

だから、あなたは、iframe要素を取得することができ、その後、あなたはフレームの内側そのイベントに耳を傾けることができ、同じように

otherWindow.postMessage(InfoToSend, "*");

のようにMSGを投稿：

window.addEventListener("message", receiveMessage, false);

このノー原因クロスフレームの問題は意志とそれが情報を渡すために安全な方法となり、悪いニュースは、あなたがwindow.cordovaインスタンスを渡すことができないということですので、あなたが確立する必要があります。 iFrameとwindow.topフレームの間の会話。