Rastreo de permisos de política de seguridad en JavaScript

1

Estoy trabajando en un click-jacker glorificado que usa CNAMES para navegación (ejemplo .bit - > example.speech.is) y quiero permitir el acceso entre dominios a los contenidos de un iFrame. El iframe secundario tiene encabezados establecidos en:

Access-Control-Allow-Origin: *
Content-Security-Policy: default-src 'self' 'unsafe-inline' *.speech.is http://bits.speech.is https://bits.speech.is http://speech.is

Pero todavía no puedo acceder al iframe usando iframe.windowContent.document (en realidad es speech.windowContent.document ). Firefox me da:

Error: Permission denied to access property 'document'

Mientras Chrome informa:

SecurityError: Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match.
code: 18
message: "Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match."
name: "SecurityError"
stack: "Error: Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match.↵    at <anonymous>:2:21↵    at Object.InjectedScript._evaluateOn (<anonymous>:580:39)↵    at Object.InjectedScript._evaluateAndWrap (<anonymous>:539:52)↵    at Object.InjectedScript.evaluate (<anonymous>:458:21)"

¿Hay algún modo de rastrear dónde se establece esta política de seguridad?

    
pregunta Indolering 05.11.2013 - 00:01
fuente

1 respuesta

3

Access-Control-Allow-Origin: * permite ciertas solicitudes CORS de XHR, pero no permite el acceso directo de JS a través del iframe. Si desea utilizar comunicarse con el iframe, puede usar postMessage en su lugar e implementar escuchas tanto en el iframe como en el principal. Por supuesto, entonces necesitas controlar la página que se muestra en el iframe.

    
respondido por el Erlend 05.11.2013 - 22:48
fuente

Lea otras preguntas en las etiquetas