document.domain与js跨域的问题

以前如果要使iframe里面的脚本能访问parent的内容，但iframe和parent的二级域名相同，那一般都会在两者都写上document.domain="xxx.com" 以放宽访问权限。

今天发现，如果iframe和parent在同一个三级域名下，比如都是aa.bb.com，那设了document.domain反而会造成访问拒绝。

查了下MSDN，有如下解释：

Remarks

The property initially returns the host name of the server from which the page is served. The property can be assigned the domain suffix to allow sharing of pages across frames. For example, a page in one frame from home.microsoft.com and a page from www.microsoft.com initially would not be able to communicate with each other. However, by setting the domain property of both pages to the suffix "microsoft.com", you ensure that both pages are considered secure and access is available between the pages.

When you set the domain property, use the domain name determined by the server rather than by the client browser.

All the pages on different hosts must have the domain property explicitly set to the same value to communicate successfully with each other. For example, the value of the domain property of a page on the host microsoft.com would be "microsoft.com" by default. It might seem logical that if you set the domainproperty of a page on another host named msdn.microsoft.com to "microsoft.com," that the two pages could communicate with each other. However, this is not the case unless you have also explicitly set the domain property of the page on microsoft.com to "microsoft.com".

Furthermore, this property cannot be used to allow cross-frame communication among frames with different domain suffixes. For example, a page in one frame from www.microsoft.com and a page in another frame from www.msn.com would not be able to communicate with each other even if the domain property of both pages was set to the suffix "microsoft.com".

 Security Alert  Using this property incorrectly can compromise the security of your Web site. Set the domain property only if you must allow cross-domain scripting. Use a value determined on the server. Setting this property to a value determined on the client (like through the location object) could expose your site to attack from another site through Domain Name System (DNS) manipulation. For more information, see Security Considerations: Dynamic HTML.

For more information on domain security, see About Cross-Frame Scripting and Security.

 

 

document.domain通俗讲解，没验证过，不知道正确不？

用来得到当前网页的域名。
比如在地址栏里输入：

javascript:alert(document.domain); //www.315ta.com

我们也可以给document.domain属性赋值，不过是有限制的，你只能赋成当前的域名或者基础域名。
比如：
javascript:alert(document.domain = "315ta.com"); //315ta.com
javascript:alert(document.domain = "www.315ta.com");//www.315ta.com

上面的赋值都是成功的，因为www.315ta.com是当前的域名，而315ta.com是基础域名。

但是下面的赋值就会出来"参数无效"的错误：
javascript:alert(document.domain = "cctv.net"); //参数无效
javascript:alert(document.domain = "ttt.315ta.com"); //参数无效

因为cctv.net与ttt.315tas.com不是当前的域名也不是当前域名的基础域名，所以会有错误出现。
这是为了防止有人恶意修改document.domain来实现跨域偷取数据。

利用document.domain实现跨域：
前提条件：这两个域名必须属于同一个基础域名!而且所用的协议，端口都要一致，否则无法利用document.domain进行跨域

Javascript出于对安全性的考虑，而禁止两个或者多个不同域的页面进行互相操作，~~~协议 主机名 和 端口号都相同才是相同的域，否则就是不同的域
相同域的页面在相互操作的时候不会有任何问题。

比如在：aaa.com的一个网页（a.html）里面利用iframe引入了一个bbb.com里的一个网页（b.html）。
这时在a.html里面可以看到b.html里的内容，但是却不能利用javascript来操作它。因为这两个页面属于不同的域，在操作之前，js会检测两个页面的域是否相等，如果相等，就允许其操作，如果不相等，就会拒绝操作。
这里不可能把a.html与b.html利用JS改成同一个域的。因为它们的基础域名不相等。（强制用JS将它们改成相等的域的话会报跟上面一样的"参数无效错误。"）

所以如果在a.html里引入aaa.com里的另一个网页，是不会有这个问题的，因为域相等。 ~~~相同域的2个页面可以相互通信

有另一种情况，两个子域名：
aaa.xxx.com
bbb.xxx.com

aaa里的一个网页（a.html）引入了bbb 里的一个网页（b.html），
这时a.html里同样是不能操作b.html里面的内容的。
因为document.domain不一样，一个是aaa.xxx.com，另一个是bbb.xxx.com。 ~~~基础域名是相同的 所以可以设置 document.domain = 基础域名，使之可通信

这时我们就可以通过Javascript，将两个页面的domain改成一样的，
需要在a.html里与b.html里都加入：

document.domain = "xxx.com";

这样这两个页面就可以互相操作了。也就是实现了同一基础域名之间的"跨域"。