情况是这样的:
页面A包含iframe B,B包含iframe C,A和B在同一个域下,C在另一个域下。
C 尝试使用“#”后的额外信息重置父 B 的位置,以解决使用 Fragment Id Messaging 的跨域通信。
IE6/7/8 在这种情况下工作正常,而 Firefox 阻止 parent.location 设置并显示错误消息 [Access to property denied"code: "1010 ]。
但如果 B 是最上面的窗口,意味着没有 A,Firefox 也会存在。
这对我来说很奇怪......你们能帮忙吗?
谢谢!
最佳答案
从历史上看,任何窗口都可以更改任何其他窗口的位置。结果证明这是一个问题,因为除其他外,这意味着在窗口中嵌入登录 iframe 是不安全的(因为恶意站点可能会用欺骗性版本替换登录 iframe)。随着时间的推移,对浏览器窗口的位置更改应用了进一步的限制,直到现在,HTML5大多数浏览器已就the ancestor policy达成共识.简而言之,解释 HTML5 规范,一个窗口 A 可以改变另一个窗口 B 的位置,当且仅当:
window.open 打开的窗口,A 可以更改打开 B 的窗口的位置(因此 B 是 A 打开的弹出窗口,由 A 打开的弹出窗口,或者在更深的地方),或者(同源比这更复杂,但上面的嵌入式描述捕获了它的本质并涵盖了最常见的情况。)
根据此政策,C 可以更改 A 的位置,A 可以更改 B 或 C 的位置,但 C 不能更改 B 的位置。如果您需要解决此问题,则应更改您的页面A 对某事物的位置会适本地改变 B;或者,您可以 ask your page B to change its own location .
希望这能提供信息,但不一定有帮助。浏览器安全模型与其说是设计,不如说是进化,只有最近在 HTML5 中的工作才真正明确地解决了这些跨浏览器的不一致问题。
总而言之,我很惊讶 IE7 和 IE8 能为您工作——我的理解是上述政策主要基于 IE7 实现的政策。
关于javascript - 跨域 JavaScript 父位置设置 firefox 错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1157233/
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
我在使用omniauth/openid时遇到了一些麻烦。在尝试进行身份验证时,我在日志中发现了这一点:OpenID::FetchingError:Errorfetchinghttps://www.google.com/accounts/o8/.well-known/host-meta?hd=profiles.google.com%2Fmy_username:undefinedmethod`io'fornil:NilClass重要的是undefinedmethodio'fornil:NilClass来自openid/fetchers.rb,在下面的代码片段中:moduleNetclass
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
我正在查看instance_variable_set的文档并看到给出的示例代码是这样做的:obj.instance_variable_set(:@instnc_var,"valuefortheinstancevariable")然后允许您在类的任何实例方法中以@instnc_var的形式访问该变量。我想知道为什么在@instnc_var之前需要一个冒号:。冒号有什么作用? 最佳答案 我的第一直觉是告诉你不要使用instance_variable_set除非你真的知道你用它做什么。它本质上是一种元编程工具或绕过实例变量可见性的黑客攻击
我想设置一个默认日期,例如实际日期,我该如何设置?还有如何在组合框中设置默认值顺便问一下,date_field_tag和date_field之间有什么区别? 最佳答案 试试这个:将默认日期作为第二个参数传递。youcorrectlysetthedefaultvalueofcomboboxasshowninyourquestion. 关于ruby-on-rails-date_field_tag,如何设置默认日期?[rails上的ruby],我们在StackOverflow上找到一个类似的问
我遵循MichaelHartl的“RubyonRails教程:学习Web开发”,并创建了检查用户名和电子邮件长度有效性的测试(名称最多50个字符,电子邮件最多255个字符)。test/helpers/application_helper_test.rb的内容是:require'test_helper'classApplicationHelperTest在运行bundleexecraketest时,所有测试都通过了,但我看到以下消息在最后被标记为错误:ERROR["test_full_title_helper",ApplicationHelperTest,1.820016791]test
我使用的是Firefox版本36.0.1和Selenium-Webdrivergem版本2.45.0。我能够创建Firefox实例,但无法使用脚本继续进行进一步的操作无法在60秒内获得稳定的Firefox连接(127.0.0.1:7055)错误。有人能帮帮我吗? 最佳答案 我遇到了同样的问题。降级到firefoxv33后一切正常。您可以找到旧版本here 关于ruby-无法在60秒内获得稳定的Firefox连接(127.0.0.1:7055),我们在StackOverflow上找到一个类
我是rails的新手,想在form字段上应用验证。myviewsnew.html.erb.....模拟.rbclassSimulation{:in=>1..25,:message=>'Therowmustbebetween1and25'}end模拟Controller.rbclassSimulationsController我想检查模型类中row字段的整数范围,如果不在范围内则返回错误信息。我可以检查上面代码的范围,但无法返回错误消息提前致谢 最佳答案 关键是您使用的是模型表单,一种显示ActiveRecord模型实例属性的表单。c
我正在尝试编写一个将文件上传到AWS并公开该文件的Ruby脚本。我做了以下事情:s3=Aws::S3::Resource.new(credentials:Aws::Credentials.new(KEY,SECRET),region:'us-west-2')obj=s3.bucket('stg-db').object('key')obj.upload_file(filename)这似乎工作正常,除了该文件不是公开可用的,而且我无法获得它的公共(public)URL。但是当我登录到S3时,我可以正常查看我的文件。为了使其公开可用,我将最后一行更改为obj.upload_file(file
我克隆了一个rails仓库,我现在正尝试捆绑安装背景:OSXElCapitanruby2.2.3p173(2015-08-18修订版51636)[x86_64-darwin15]rails-v在您的Gemfile中列出的或native可用的任何gem源中找不到gem'pg(>=0)ruby'。运行bundleinstall以安装缺少的gem。bundleinstallFetchinggemmetadatafromhttps://rubygems.org/............Fetchingversionmetadatafromhttps://rubygems.org/...Fe