設置document.domain的時候SOP反正

Question

侵犯我試圖找出從內部框架加載內容時，如果SOP不會違反無論如何設置是否document.domain='example.com'服務宗旨。 在我的情況我有它加載在www.example.com/iframe的iframe（所有端口80）在www.example.com上一個HTML頁面 - 所以，按照我的理解，設置document.domain屬性是不必要在這裏。

在FF3中，從iframe流式傳輸的javascript代碼不會執行，除非我在父頁面和iframe上都明確設置了document.domain屬性。在FF4中，它不會在任何設置中執行。我也嘗試在主機名中使用www前綴 - 沒有區別。 Firebug揭示了一個包含<script>標籤全部內容的分塊部分。

這是否意味着設置document.domain還有一個目的時，有沒有子域名或XSS爲何？

Answer 1

設置document.domain不應該在你的情況相同的效果，除非有發生。

我建議你不要觸摸document.domain並試圖找到真實原因爲您的問題。插入document.domain只會導致通過iframe等進行AJAX或文件上傳時的麻煩，因爲這些不一定會選擇進入新域名後綴。

但是，爲了回答，不，它並沒有比跨子域進行通信時放鬆了SOP以外的目的。