24

Javascript で同一生成元ポリシーの問題が発生しています。変数を使用した回避策について読みましたがdocument.domain、回避策が機能しません。回避策は、からコードを実行すると、から XHR 経由でデータをロードできるようにdocument.domainを設定できるはずです。'example.com'foo.example.combar.example.com

回避策の詳細は次のとおりです。

https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript

私のサンプル コード (目的の結果が得られない) は、次のような URL から実行されますhttp://foo.example.com/

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<body>
<script>
document.domain = 'example.com';
window.onload = function() {
    var req = new XMLHttpRequest();
    var url = 'http://bar.example.com/';
    req.open('GET', url, true);
    req.onreadystatechange = function (aEvt) {
        if (req.readyState == 4) {
            var elem = document.getElementById('result');
            if (req.status == 200) {
                var data = req.responseText;
            } else {
                var data = "Error loading page: " + req.status;
            }
            elem.innerHTML = data;
        }
    };
    req.send(null);
};
</script>
Result:<hr>
<div id="result"></div>
</body>
</html>

このコードからの出力:

結果:
ページの読み込みエラー: 0

に変更urlすると'http://foo.example.com/'、すべてが正しく機能します。サンプル コードにバグはありますか?

プロキシは遅く、効率が悪く、Web サーバーのトラフィックが増加するため、使用したくありません。この回避策が実際に機能した場合、それは本当に素晴らしいことです。この回避策は「パイ・イン・ザ・スカイ」ですか?

4

1 に答える 1

24

document.domainフレーム/iframe 間の通信を許可します。XHRではありません。

<body>
<iframe src="http://bar.example.com/"></iframe>
<script>
    document.domain = 'example.com';
    var ifr = document.getElementsByTagName('IFRAME')[0];
    ifr.onload = function(e){
        //will log the string "BODY" in the console
        console.log(ifr.contentWindow.document.body.tagName);
    };
</script>
</body>

で行を削除するとdocument.domain、contentWindow のコンテンツを読み取ると Same Origin Policy エラーがスローされます。

于 2010-03-08T23:26:30.750 に答える