Estoy trabajando en un click-jacker glorificado que usa CNAMES para navegación (ejemplo .bit - > example.speech.is) y quiero permitir el acceso entre dominios a los contenidos de un iFrame. El iframe secundario tiene encabezados establecidos en:
Access-Control-Allow-Origin: *
Content-Security-Policy: default-src 'self' 'unsafe-inline' *.speech.is http://bits.speech.is https://bits.speech.is http://speech.is
Pero todavía no puedo acceder al iframe usando iframe.windowContent.document (en realidad es speech.windowContent.document
). Firefox me da:
Error: Permission denied to access property 'document'
Mientras Chrome informa:
SecurityError: Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match.
code: 18
message: "Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match."
name: "SecurityError"
stack: "Error: Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match.↵ at <anonymous>:2:21↵ at Object.InjectedScript._evaluateOn (<anonymous>:580:39)↵ at Object.InjectedScript._evaluateAndWrap (<anonymous>:539:52)↵ at Object.InjectedScript.evaluate (<anonymous>:458:21)"
¿Hay algún modo de rastrear dónde se establece esta política de seguridad?