问题描述
iframe是否可以指定可访问其innerHTML,contentwindow,contentDocument等的域白名单?
例如,我的意思是
Canny
如果iframe可以在其响应标头中指定类似于x-frame-allow的内容,则该白名单是允许访问其innerHTML,contentwindow等的域/模式的白名单。是否有任何此类提议/ RFC处于早期阶段?之前有讨论过吗?
解决方法
尝试设置响应标头Access-Control-Allow-Origin:* .domain.com,该标头将允许跨域资源共享(CORS)
引用:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Origin