настройка document.domain, когда SOP все равно не нарушается

Question

Я пытаюсь выяснить, служит ли установка document.domain='example.com' цели при загрузке контента из фреймов, если SOP все равно не будет нарушен. В моем сценарии у меня есть html-страница на www.example.com, которая загружает iframe на www.example.com/iframe (все порты 80) - так что, насколько я понимаю, установка свойства document.domain здесь не нужна.

В FF3 код javascript, передаваемый из iframe, не выполняется, пока я не установлю свойство document.domain явно на родительской странице и в iframe. В FF4 он не выполняется ни в одной настройке. Я также пробовал с префиксом www в имени хоста - без разницы. Firebug показывает, что часть фрагмента, содержащая полное содержимое тега <script>, была загружена.

Означает ли это, что настройка document.domain по-прежнему имеет цель, когда не задействованы субдомены или xss?

Answer 1

Настройка document.domain не должна иметь эффекта в вашем случае, если что-то еще не происходит.

Я предлагаю вам не трогать document.domain и попытаться найти реальную причину вашей проблемы.Вмешательство в document.domain приведет только к проблемам при выполнении AJAX или загрузке файлов с помощью iframes и т. Д., Так как они не обязательно выберут суффикс нового домена.

Но, чтобы ответить, нет, у него нет другой цели, кроме как ослабить SOP при взаимодействии между поддоменами.