我正在尝试访问我正在开发的页面上 iframe 内的 HTML 标签内容。父页面和 iframe 页面具有相同的根域,但子域不同。我无法更改 iframe 页面,但可以更改父页面。
为此,我通过以下方式打开了 Chrome
open -a Google\ Chrome --args --disable-web-security
让 Chrome 忽略与访问 Iframe 中的元素相关的同源策略。但是,当我尝试访问 Iframe 中的元素时,Chrome 仍然返回错误:
Uncaught Error: SECURITY_ERR: DOM Exception 18
Refused to display document because display forbidden by X-Frame-Options.
我该如何告诉 Chrome 完全忽略 XSS 检查?我可以使用命令行参数吗?Dropbox 上的这个页面说明了我的意图。我正在尝试访问 iframe 的内容。http://dl.dropbox.com/u/1531353/Misc/subDomainFrameAccess/index.html
答案1
X-frame-options 是反点击劫持的,不是 XSS。页面拒绝在 iframe 中显示。你能改用弹出窗口吗?
答案2
请对 chrome 错误列表进行评论,以便 chrome 开发人员能够听到我们的集体呼声!
https://bugs.chromium.org/p/chromium/issues/detail?id=857032