在 Javascript 中使用 document.domain 的同源策略解决方法

Posted 2023-02-27

【中文标题】在 Javascript 中使用 document.domain 的同源策略解决方法

【英文标题】：Same-origin policy workaround using document.domain in Javascript

【发布时间】：2011-01-25 04:27:18

【问题描述】：

我在 javascript 中遇到了同源策略问题。我已经阅读了使用 document.domain 变量的解决方法，但我无法使解决方法起作用。解决方法是您应该能够将document.domain 设置为'example.com'，这样如果您从foo.example.com 运行代码，它就可以通过XHR 从bar.example.com 加载数据。

这里有解决方法的详细信息：

https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript

我的示例代码——它不会产生预期的结果——是从像http://foo.example.com/这样的 URL 运行的：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<body>
<script>
document.domain = 'example.com';
window.onload = function() 
    var req = new XMLHttpRequest();
    var url = 'http://bar.example.com/';
    req.open('GET', url, true);
    req.onreadystatechange = function (aEvt) 
        if (req.readyState == 4) 
            var elem = document.getElementById('result');
            if (req.status == 200) 
                var data = req.responseText;
             else 
                var data = "Error loading page: " + req.status;
            
            elem.innerHTML = data;
        
    ;
    req.send(null);
;
</script>
Result:<hr>
<div id="result"></div>
</body>
</html>

这段代码的输出：

结果： 加载页面时出错：0

如果我将url 更改为'http://foo.example.com/'，一切正常。我的示例代码中有错误吗？

我不想使用代理，因为它们速度较慢、效率较低，并且会增加我们网络服务器上的流量。如果这种解决方法真的有效，那就太酷了。这种解决方法是“天上掉馅饼”吗？

【参考方案1】：

document.domain 允许帧/iframe 之间的通信。不是 XHR。

<body>
<iframe src="http://bar.example.com/"></iframe>
<script>
    document.domain = 'example.com';
    var ifr = document.getElementsByTagName('IFRAME')[0];
    ifr.onload = function(e)
        //will log the string "BODY" in the console
        console.log(ifr.contentWindow.document.body.tagName);
    ;
</script>
</body>

如果去掉document.domain那一行，读取contentWindow的内容会抛出Same Origin Policy错误。

【讨论】：

我试过了。在 chrome 中设置 document.domain 返回网络错误。开发者工具告诉了同源策略问题。

您是否尝试在父域和子域中将document.domain 设置为相同的值？如果不是，这会导致错误。

我猜是因为 iframe 是完全不同的域。

是的，域必须相同。这仅对子域/端口问题有用。

如果 foo.example.com 设置 document.domain=example.com 也会 bar.foo.example.com 能够通信 如果它设置了 document.domain=example.com ？