在测试SOP时,我遇到了这种情况:两个文档与我预期的相同域名有关,并且当我尝试获取位置时会抛出错误。
为了重现问题:
let opened = window.open("https://www.google.com")opened.location.toString(),将返回正确的位置document.domain = "www.google.com"再从第一个标签页执行 opened.location.toString(),你将会得到一个错误
Uncaught DOMException: Blocked a frame with origin "https://www.google.com" from accessing a cross-origin frame.
at <anonymous>:1:12
有人能解释这种奇怪的行为吗?
这个错误不是一个 bug。同源策略是一种安全机制,确保窗口对象只有访问它们被授权获取的信息。在您的情况下,这包括访问 opened.location。
在创建时,两个标签具有相同的起源(origin),这使得第一个标签可以访问opened.location。但是在调用document.domain = 'www.google.com'之后,他们不再具有相同的起源(origin)了。
“什么?但是在两个标签中,window.location.origin 是相同的”
是的,但它有点更复杂。起源(Origin)由方案/主机/端口三元组定义,请参见 @TheUnknown 的答案以了解更多详细信息。方案和主机始终保持不变,并且它们是包含在 window.location.origin 字符串中的部分。
需要知道的棘手问题是,任何对document.domain的调用,包括document.domain = document.domain, 将导致端口号被重写为null,从而导致两个标签的起源(origin)之间存在差异,防止它们之间通信信息,例如opened.location,从而导致错误。
信息来源于 MDN 的同源策略指南
首先,我建议您阅读同源策略。
同源策略是一种关键的安全机制,它限制了从一个来源加载的文档或脚本如何与来自另一个来源的资源交互。它有助于隔离潜在的恶意文档,减少可能的攻击向量。
如果两个URL的协议、端口(如果指定)和主机都相同,则它们具有相同的源。您可能会看到这被称为“方案/主机/端口元组”,或者只是“元组”。(“元组”是一组项目,它们共同组成整体-双/三/四/五元组的通用形式等)
在这种特定情况下,您使用HTTPS协议打开一个窗口,但是当您设置域时,协议被更改为HTTP,请参见下面的图像:
根据1,如果协议不同,则违反了原则,因此您会得到错误
Uncaught DOMException: Blocked a frame with origin "https://www.google.com" from accessing a cross-origin frame.
这里的关键词是跨域。
此外,查看SecurityError: Blocked a frame with origin from accessing a cross-origin frame以获取更多详细信息。
document.location 更改之前和之后是相同的;它们都是 http://www.google.com。 - Derek Pollardhttp://example.com替换每个 https://www.google.com,错误仍然会显示。 - Nino Filiu这可能有点不太具体(只是陈述事实),但是:
在窗口B中更改domain后,窗口B停止将窗口A视为opener。
由于窗口A不再被视为窗口B的打开者,因此访问被禁止。
这让我想到,修改document.domain被认为是潜在的不安全行为,并且会通过孤立子窗口来“惩罚”。
typeof window.location.port在任何情况下都不会改变 - Derek Pollardwindow.location.port中的值复制同源检查。 - Nino Filiu