Могу ли я предоставить явные методы Javascript для iframe с другим хостом?

Question

Я имею в виду систему, в которой я разрешаю пользователям создавать виджеты с поддержкой Javascript, чтобы другие пользователи могли встраивать их в свою панель на моем веб-сайте. Я хотел бы довольно строго ограничить эти виджеты, чтобы каждый из них существовал как iframe, сохраненный на собственном уникальном имени хоста: например, виджет с идентификатором # 47 был бы доступен в w47.widgets.example.com.

Для диалогов, предоставляющих разрешения и т.п., было бы полезно разрешить виджету вызывать очень специфические методы, явно предоставленные родительским окном, без разрешения iframe делать все, что ему нравится, с родительским фреймом от имени пользователя. .

Возможно ли, чтобы родительский документ явно разрешал определенные вызовы методов для дочернего документа на другом хосте?

Answer 1

Вы можете создать свой собственный протокол с postMessage и receiveMessage, чтобы пропустить именно то, что вы хотите. Это может не сработать, если у вас есть большой выбор браузеров для поддержки. Старые браузеры (например, IE 7 и ниже) требуют обходного пути, чтобы сделать эту технику несколько неприятной.