IFrameと同じ発信元ポリシーの変更

Question

example.com/somefile.htmlというurlのiframeをサブドメインsub.example.com/dir/frame.htmlからロードしようとしています。

SOP違反を避けるために、document.domainをJavaScript.comのexample.comに設定してください（frame.html & somefile.html）。

これはIEとFirefoxで動作しますが、私はまだChromeで次のエラーが発生した： 『それは『X-フレーム・オプション』『SAMEORIGIN』に設定するので、フレームに。「 は、フレーム-URL」を表示するために拒否しました』

両方のファイルをデバッグしてチェックするときdocument.domain value私は予想される "example.com"を取得します。

誰でも私を啓発できますか？

Answer 1

document.domainハックは、単にX-Frame-Optionsルールに影響しません。ページをフレームに表示させる場合は、X-Frame-Optionsのルールを変更する必要があります。

SAMEORIGINの代わりにALLOW-FROMを使用してください。 spec has guidance複数のサブドメインへのアクセスを許可したい場合に備えて