Zugriff Programmatically einen Iframe, der eine Daten URI als Quelle verwendet

Question

ich ein iframe programmatisch die „Daten“ URI bin erstellen:

<iframe id="myFrame" src='data:text/html;charset=utf-8,<!DOCTYPE html><html><head></head><body><h1>Hello.</h1></body></html>'></iframe>​ 

Dieser Rahmen Lasten in Ordnung, aber es scheint, dass programmatisch mit dem iframe Arbeits führt zu domänenübergreifenden Sicherheitsprüfungen.

var iframeDoc = document.getElementById('myFrame').contentWindow.document; 
$(iframeDoc.body).find('h1').text('Changed'); 

Wirft einen Fehler in Chrome und Safari:

Unsafe JavaScript attempt to access frame with URL data:text/html;charset=utf-8,... from frame with URL http://... The frame requesting access has a protocol of 'http', the frame being accessed has a protocol of ''. Protocols must match.

Hier ist eine Geige, die Sicherheit Fehler zeigt: http://jsfiddle.net/bhGcw/4/

Firefox und Opera nicht diese Ausnahme auslösen und die iframe Inhalte erlauben zu sein geändert. Scheint so, als ob Webkit ein leeres Protokoll für Daten-URIs sieht und sieht dies als eine domänenübergreifende Verletzung an.

Gibt es einen Weg um dies zu umgehen?

Answer 1

Es scheint, dass Webkit hat einen einfachen String-Vergleich in ihren domain checking code:

String DOMWindow::crossDomainAccessErrorMessage(DOMWindow* activeWindow) 
{ 
    ... 

    SecurityOrigin* activeOrigin = activeWindow->document()->securityOrigin(); 
    SecurityOrigin* targetOrigin = document()->securityOrigin(); 
    if (targetOrigin->protocol() != activeOrigin->protocol()) 
     return message + " The frame requesting access has a protocol of '" + activeOrigin->protocol() + "', the frame being accessed has a protocol of '" + targetOrigin->protocol() + "'. Protocols must match.\n"; 

    ... 
} 

Es sieht aus wie Chrom wird strenger als die HTML5-Spezifikation, zumindest nach den folgenden Fehlermeldungen:

• https://bugs.webkit.org/show_bug.cgi?id=17352
• https://code.google.com/p/chromium/issues/detail?id=58999

Chrom-Entwickler scheinen nicht dafür zu sein, diese Regel zu lockern. Bummel.

Answer 2

Es ist ein bisschen spät, wie wäre es mit statt einer Daten-URL verwenden Sie das HTML5-Attribut srcdoc.

<iframe id="iframe" srcdoc='<html><body><h1>Hello!</h1></body></html>'></iframe> 
<script type="text/javascript"> 
    $(function(){ 
     $($("iframe")[0].contentWindow.document).find("h1").text("Modified from the parent window!"); 
    }); 
</script> 

Es ist ein Beispiel an http://jsfiddle.net/ff3bF/

Answer 3

Die Antwort von @jamie funktioniert gut in einen Iframe zum Laden von HTML vorbringen und damit nachfolgende programatic Interaktion mit dem Inhaltsdokument.

XHTML ist nicht so einfach.

Das Attribut srcdoc scheint auf HTML beschränkt zu sein, nicht auf XHTML.

Eine Umgehung ist die Verwendung einer Blob URL, die die content-type spezifiziert werden kann.

var documentSource = '<?xml version="1.0" encoding="UTF-8"?>\n<html xmlns="http://www.w3.org/1999/xhtml">\n<head>...'; 
var blob = new Blob([documentSource], { type: "application/xhtml+xml" }); 
iframe.src = URL.createObjectURL(blob); 

Diese Technik funktioniert für mindestens Chrome, Firefox und Safari.