iframe跨域别的网站 iframe嵌入第三方网站跨域
各位老铁们好,相信很多人对iframe跨域别的网站都不是特别的了解,因此呢,今天就来为大家分享下关于iframe跨域别的网站以及iframe嵌入第三方网站跨域的问题知识,还望可以帮助大家,解决大家的一些困惑,下面一起来看看吧!
iframe跨域问题 嵌入别人的网站 iframe跨域点击别人的网站
iframe跨域问题主要涉及到同源策略的限制,以及如何解决或绕过这些限制。
一、iframe跨域问题的本质
同源策略:浏览器出于安全考虑,默认禁止不同源的网页之间进行交互。同源指的是协议、域名和端口都相同。跨域问题表现:当尝试在iframe中嵌入另一个域名的网页时,可能会遇到无法读取cookie、localStorage、indexDB,DOM无法获取,以及ajax请求无法发送等问题。二、解决iframe跨域问题的方法
使用微前端嵌套:
将需要嵌套的页面打包好后再进行嵌套,这种方式可以更好地管理不同项目之间的依赖和交互。服务器配置代理:
可以借助Nginx等服务器配置代理地址,进行中间跳转,从而解决跨域问题。这种方法需要服务器端的支持。修改浏览器安全设置(不推荐):
某些浏览器(如谷歌浏览器)允许通过修改启动参数来禁用web安全策略,但这通常不推荐,因为它会降低浏览器的安全性。使用postMessage API:
如果两个页面之间需要进行通信,可以使用HTML5提供的postMessage API,它允许不同源的页面之间进行安全通信。检查并遵守目标网站的使用条款:
在嵌入其他网站的内容之前,务必检查并遵守其使用条款和条件,以避免法律风险。三、注意事项
法律风险:未经允许嵌入其他网站的内容可能涉及版权和使用权问题,务必确保合法合规。用户体验:嵌入iframe可能会影响页面的加载速度和用户体验,特别是在移动网络环境下。系统兼容性:某些系统或浏览器可能不支持某些跨域解决方案,因此需要进行充分的测试。四、总结
iframe跨域问题是一个复杂且常见的问题,涉及到同源策略、浏览器安全设置、服务器端配置以及法律法规等多个方面。在解决这类问题时,需要综合考虑各种因素,选择最适合的解决方案。同时,务必确保合法合规,避免涉及法律风险。
详解iframe跨域的几种常用方法(小结)
背景
随着业务的发展,自然地会有一些公共的业务被抽离成为公共组件共各个项目使用。但是由于各个项目用到的技术栈都有所不同,所以这个公共组件就不能方便地被引用了。为解决这个问题,我们把这个组件写成了单独的页面挂到一个域名下,其他项目采用iframe或者webview的方式去加载这个页面,从而实现功能的简单复用。
不过这过程中也产生了很多问题,单是跨域就会出现好几次了。以下我将会介绍我遇到的跨域问题以及一些解决方法。
为什么会跨域
为了保证用户信息的安全,95年的时候Netscape公司引进了同源策略,里面的同源指的是三个相同:协议、域名、端口。
违反了同源策略就会出现跨域问题,主要表现为以下三方面:
无法读取cookie、localStorage、indexDB
DOM无法获得
ajax请求无法发送
场景
最近在做一个需求,需要用iframe引入一个别人封装好的类似视频播放器的东西。iframe里面有一个全屏的按钮,点击后需要页面让iframe全屏,由于受到同源策略的限制,iframe无法告诉页面全屏。
解决办法
设置domain
document.domain作用是获取/设置当前文档的原始域部分,同源策略会判断两个文档的原始域是否相同来判断是否跨域。这意味着只要把这个值设置成一样就可以解决跨域问题了。
在此我将domain设置为一级域名的值,a页面url为a.demo.com,a页面中iframe引用的b页面url为b.demo.com,具体设置为
document.domain='demo.com'
设置完之后,在a页面的window上挂载使iframe全屏的方法
// a页面
window.toggleFullScreen=()=>{
// do something
}
在b页面上可以直接获取到a页面的window对象并直接调用
// b页面
window.parent.toggleFullScreen()
但是这个值的设置也有一定限制,只能设置为当前文档的上一级域或者是跟该文档的URL的domain一致的值。如url为a.demo.com,那domain就只能设置为demo.com或者a.demo.com。因此,设置domain的方法只能用于解决主域相同而子域不同的情况。
使用中间页面
我们还可以使用一个与a页面同域名但不同路由的c页面作为中间页面,b页面加载c页面,c页面调用a页面的方法,从而实现b页面调用a页面的方法。具体操作如下:
在a页面的node层新开一个路由,此路由加载一个c页面作为中间页面,c页面的url为a.demo.com/c。c页面只是一个简单的html页面,在window的onload事件上调用了a页面的方法。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title></title>
</head>
<body>
<script>
window.onload= function(){
parent.parent.toggleFullScreen();
}
</script>
</body>
</html>
由于c页面和a页面是符合同源策略的,所以可以避开跨域问题,执行全屏的方法。
postmessage
window.postMessage方法可以安全地实现跨源通信,写明目标窗口的协议、主机地址或端口就可以发信息给它。
// b页面
parent.postMessage(
value,
""
);
// a页面
window.addEventListener("message", function( event){
if(event.origin!=='') return;
toggleFullScreen()
});
为了安全,收到信息后要检测下event.origin判断是否要收信息的窗口发过来的。
通过以上的方法,我们就可以和iframe自由通信啦。
JavaScript 怎么跨域获取 iframe 中的内容
要解释这个问题,首先要解释两个技术点。
每个“窗口”都是一个JS Runtime,即JS的运行时。如果只有一个窗口,那么就只有一个Runtime;如果一个窗口下面还有一个iframe,那么就有两个Runtime;以此类推。
Runtime之间互操作(或者通信)是有跨域限制的。也就是说,如果这个窗口本身是a.baidu.com域名下的页面,那么如果这个页面下还有一个iframe,这个iframe中加载的页面是b.baidu.com域名下的。那么外层的JS。就不能跟这个iframe中的内容互操作(或者通信)。
因此外层Runtime中的JS想操作内层iframe中的内容,就必须要避免跨域限制。要么内层iframe加载页面的域名跟外层是一样的。要么就是需要在内层iframe加载的页面中执行document.domain='baidu.com';从而设置跟外层的主域相同。
例如,当前页面是a.baidu.com/test.html
<html>
<head>
</head>
<body>
<iframe id="iFrm1" src="0c893329b8c9af6ff578db9b1a128d13"margin: 0px; padding: 0px; color: rgb(69, 69, 69); font-family: arial,宋体, sans-serif, tahoma,'Microsoft YaHei'; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px;-webkit-tap-highlight-color: rgba(26, 26, 26, 0.301961);-webkit-text-size-adjust: auto;-webkit-text-stroke-width: 0px;">
iframe中加载的页面内容如下:
<html>
<head>
</head>
<body>
<div id="innerDiv">恭喜操作到内部iframe中的元素了!!!</div>
<script>
document.domain='baidu.com';
</script>
</body>
</html>
在HTML5中新增了postMessage的API。可以方便窗口跟内部iframe之间进行通信,并且可以实现跨主域通信。但是有一些限制,1.老版本的浏览器一般不支持。2.父窗口只能向iframe中发送信息,iframe只能收消息,且父窗口不能直接操作iframe中的内容。3.父窗口发送的数据也是有限制的。只能发送基本数据类型或者plain object。
关于iframe跨域别的网站,iframe嵌入第三方网站跨域的介绍到此结束,希望对大家有所帮助。