iframe跨域访问？iframe跨域第三方网页

大家好，今天来为大家分享iframe跨域访问的一些知识点，和iframe跨域第三方网页的问题解析，大家要是都明白，那么可以忽略，如果不太清楚的话可以看看本篇文章，相信很大概率可以解决您的问题，接下来我们就一起来看看吧！

详解iframe跨域的几种常用方法(小结)

背景

随着业务的发展，自然地会有一些公共的业务被抽离成为公共组件共各个项目使用。但是由于各个项目用到的技术栈都有所不同，所以这个公共组件就不能方便地被引用了。为解决这个问题，我们把这个组件写成了单独的页面挂到一个域名下，其他项目采用iframe或者webview的方式去加载这个页面，从而实现功能的简单复用。

不过这过程中也产生了很多问题，单是跨域就会出现好几次了。以下我将会介绍我遇到的跨域问题以及一些解决方法。

为什么会跨域

为了保证用户信息的安全，95年的时候Netscape公司引进了同源策略，里面的同源指的是三个相同：协议、域名、端口。

违反了同源策略就会出现跨域问题，主要表现为以下三方面：

无法读取cookie、localStorage、indexDB

DOM无法获得

ajax请求无法发送

场景

最近在做一个需求，需要用iframe引入一个别人封装好的类似视频播放器的东西。iframe里面有一个全屏的按钮，点击后需要页面让iframe全屏，由于受到同源策略的限制，iframe无法告诉页面全屏。

解决办法

设置domain

document.domain作用是获取/设置当前文档的原始域部分，同源策略会判断两个文档的原始域是否相同来判断是否跨域。这意味着只要把这个值设置成一样就可以解决跨域问题了。

在此我将domain设置为一级域名的值，a页面url为a.demo.com，a页面中iframe引用的b页面url为b.demo.com，具体设置为

document.domain='demo.com'

设置完之后，在a页面的window上挂载使iframe全屏的方法

// a页面

window.toggleFullScreen=()=>{

// do something

}

在b页面上可以直接获取到a页面的window对象并直接调用

// b页面

window.parent.toggleFullScreen()

但是这个值的设置也有一定限制，只能设置为当前文档的上一级域或者是跟该文档的URL的domain一致的值。如url为a.demo.com，那domain就只能设置为demo.com或者a.demo.com。因此，设置domain的方法只能用于解决主域相同而子域不同的情况。

使用中间页面

我们还可以使用一个与a页面同域名但不同路由的c页面作为中间页面，b页面加载c页面，c页面调用a页面的方法，从而实现b页面调用a页面的方法。具体操作如下：

在a页面的node层新开一个路由，此路由加载一个c页面作为中间页面，c页面的url为a.demo.com/c。c页面只是一个简单的html页面，在window的onload事件上调用了a页面的方法。

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title></title>

</head>

<body>

<script>

window.onload= function(){

parent.parent.toggleFullScreen();

}

</script>

</body>

</html>

由于c页面和a页面是符合同源策略的，所以可以避开跨域问题，执行全屏的方法。

postmessage

window.postMessage方法可以安全地实现跨源通信，写明目标窗口的协议、主机地址或端口就可以发信息给它。

// b页面

parent.postMessage(

value,

""

);

// a页面

window.addEventListener("message", function( event){

if(event.origin!=='') return;

toggleFullScreen()

});

为了安全，收到信息后要检测下event.origin判断是否要收信息的窗口发过来的。

通过以上的方法，我们就可以和iframe自由通信啦。

JavaScript 怎么跨域获取 iframe 中的内容

要解释这个问题，首先要解释两个技术点。

每个“窗口”都是一个JS Runtime，即JS的运行时。如果只有一个窗口，那么就只有一个Runtime；如果一个窗口下面还有一个iframe，那么就有两个Runtime；以此类推。

Runtime之间互操作（或者通信）是有跨域限制的。也就是说，如果这个窗口本身是a.baidu.com域名下的页面，那么如果这个页面下还有一个iframe，这个iframe中加载的页面是b.baidu.com域名下的。那么外层的JS。就不能跟这个iframe中的内容互操作（或者通信）。

因此外层Runtime中的JS想操作内层iframe中的内容，就必须要避免跨域限制。要么内层iframe加载页面的域名跟外层是一样的。要么就是需要在内层iframe加载的页面中执行document.domain='baidu.com';从而设置跟外层的主域相同。

例如，当前页面是a.baidu.com/test.html

<html>

<head>

</head>

<body>

<iframe id="iFrm1" src="0c893329b8c9af6ff578db9b1a128d13"margin: 0px; padding: 0px; color: rgb(69, 69, 69); font-family: arial,宋体, sans-serif, tahoma,'Microsoft YaHei'; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px;-webkit-tap-highlight-color: rgba(26, 26, 26, 0.301961);-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;">

iframe中加载的页面内容如下：

<html>

<head>

</head>

<body>

<div id="innerDiv">恭喜操作到内部iframe中的元素了！！！</div>

<script>

document.domain='baidu.com';

</script>

</body>

</html>

在HTML5中新增了postMessage的API。可以方便窗口跟内部iframe之间进行通信，并且可以实现跨主域通信。但是有一些限制，1.老版本的浏览器一般不支持。2.父窗口只能向iframe中发送信息，iframe只能收消息，且父窗口不能直接操作iframe中的内容。3.父窗口发送的数据也是有限制的。只能发送基本数据类型或者plain object。

为什么Iframe跨域无法访问子页面LocalStorage

Iframe跨域无法访问子页面LocalStorage的主要原因是浏览器的同源策略限制，该策略要求父页面与子页面必须协议、域名、端口号完全一致才能访问LocalStorage，此外URL错误、浏览器限制、LocalStorage禁用或脚本冲突也可能导致访问失败。以下是具体原因分析及解决方案：

原因分析同源策略限制浏览器默认启用同源策略，要求父页面与子页面的协议（如HTTP/HTTPS）、域名、端口号完全一致。若跨域（如父页面为，子页面为），浏览器会直接阻止访问子页面的LocalStorage，以防止恶意网站窃取用户数据。

URL错误若父页面或子页面的URL拼写错误、路径不完整或协议不匹配（如父页面用HTTP加载HTTPS子页面），可能导致页面加载失败或LocalStorage访问被拒。

浏览器限制部分浏览器（尤其是旧版本）对跨域LocalStorage访问有额外限制。例如，某些浏览器要求父子页面均使用HTTPS协议，否则即使同源也可能无法访问。

LocalStorage禁用用户可能在浏览器设置中禁用了LocalStorage功能，或子页面代码主动调用了localStorage.clear()等操作导致数据不可用。

脚本冲突浏览器扩展程序（如广告拦截器、隐私保护工具）或页面中的其他脚本可能修改或拦截LocalStorage操作，导致访问失败。

解决方案确保同源修改父子页面的URL，使其协议、域名、端口号完全一致。这是最直接的解决方案，但需权衡业务需求（如跨域资源整合场景可能无法实现）。

验证URL检查父子页面的URL是否正确，包括协议、域名、端口号及路径。可通过浏览器开发者工具（F12）的“Network”面板确认页面是否成功加载。

检查浏览器设置

确认浏览器未禁用LocalStorage（如Chrome设置中“隐私设置和安全性”→“Cookies及其他网站数据”需允许存储）。

更新浏览器至最新版本，避免旧版限制。

关闭可能干扰的浏览器扩展程序（如隐私模式或广告拦截工具）。

检查LocalStorage状态在子页面控制台输入localStorage，确认其返回正常对象而非undefined或报错。若子页面代码主动清除了LocalStorage，需修改相关逻辑。

排除脚本冲突临时禁用其他脚本或扩展程序，逐步排查干扰源。例如，在Chrome中通过“任务管理器”（Shift+Esc）结束可疑扩展进程。

替代方案（跨域场景）若无法满足同源条件，可采用以下方法实现数据共享：

PostMessage API父子页面通过window.postMessage()安全通信。例如：

子页面发送数据：window.parent.postMessage({ key:'value'},'*');

父页面接收数据：window.addEventListener('message',(event)=>{ console.log(event.data);});注：生产环境应替换'*'为具体父页面域名以增强安全性。

Cookie设置Cookie的Domain属性为父域名（如.example.com），使子域名可共享。但需注意：

Cookie有大小限制（通常4KB）。

需处理SameSite属性（如设为Lax或None+Secure）以支持跨域。

IndexedDB作为客户端数据库，IndexedDB支持更复杂的数据存储，但跨域访问仍需通过PostMessage等间接方式实现数据同步。

推荐优先使用PostMessage API，因其专为跨域通信设计，兼顾安全性与灵活性。若数据量较小且需持久化，可结合Cookie方案；若需存储结构化数据，可考虑IndexedDB+PostMessage组合。

关于iframe跨域访问的内容到此结束，希望对大家有所帮助。