2016-07-11 3 views
0

하위 도메인 sub.example.com/dir/frame.html에서 url example.com/somefile.html에 iframe을로드하려고합니다.IFrame과 동일한 출처 정책 위반 사례

SOP 위반을 피하기 위해 example.com에있는 document.domain을 javascript 코드로 설정하십시오 (frame.html & somefile.html).

IE 및 Firefox에서 작동하지만 Chrome에서 다음 오류가 계속 발생합니다. " 'X-Frame-Options'를 'SAMEORIGIN'(으)로 설정했기 때문에 프레임에"frame-url "을 표시하는 것을 거부했습니다."

두 파일을 디버깅하고 검사 할 때 document.domain value 예상 된 "example.com"을 얻습니다.

누구든지 나를 계몽시킬 수 있습니까?

+0

관련 항목 : http://stackoverflow.com/questions/3076414/ways-to-circumvent-the-same-origin-policy – Teemu

답변

0

document.domain 해킹은 단순히 X-Frame-Options 규칙에 영향을주지 않습니다. 페이지가 프레임에 표시되도록하려면 X-Frame-Options 규칙을 변경해야합니다.

SAMEORIGIN 대신 ALLOW-FROM을 사용하십시오. 여러 하위 도메인에 대한 액세스를 허용하려면 spec has guidance

+0

제안 사항이 "올바른 것"이지만 https ://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame- Chrome 브라우저에서 ALLOW_FROM이 지원되지 않는다는 옵 션입니다. –