背景与价值document.domain可放宽同源策略,带来安全隐患。统一禁用并配合同源治理更安全。统一规范禁用:不使用document.domain;跨文档通信采用受控postMessage。隔离:启用COOP/COEP与frame-ancestors策略。核心实现检测与替代function domainSetAttempted(): boolean { try { return (document as any).domain !== location.hostname } catch { return false } } function safeComm(win: Window, msg: any, targetOrigin: string) { win.postMessage(msg, targetOrigin) } 落地建议禁止设置document.domain;跨文档使用postMessage并校验来源。验证清单是否存在设置document.domain行为;跨文档通信是否校验来源。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复