Sto lavorando su clic-jacker glorificato che utilizza CNAMES per la navigazione (ad esempio .bit - > example.speech.is) e voglio consentire l'accesso tra domini ai contenuti di un iFrame. L'iframe secondario ha intestazioni impostate su:
Access-Control-Allow-Origin: *
Content-Security-Policy: default-src 'self' 'unsafe-inline' *.speech.is http://bits.speech.is https://bits.speech.is http://speech.is
Ma non riesco ancora ad accedere all'iframe usando iframe.windowContent.document (in realtà è speech.windowContent.document
). Firefox mi dà:
Error: Permission denied to access property 'document'
Mentre Chrome segnala:
SecurityError: Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match.
code: 18
message: "Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match."
name: "SecurityError"
stack: "Error: Blocked a frame with origin "http://bits.speech.is" from accessing a frame with origin "http://208.113.212.187". Protocols, domains, and ports must match.↵ at <anonymous>:2:21↵ at Object.InjectedScript._evaluateOn (<anonymous>:580:39)↵ at Object.InjectedScript._evaluateAndWrap (<anonymous>:539:52)↵ at Object.InjectedScript.evaluate (<anonymous>:458:21)"
Esiste comunque la possibilità di rintracciare dove viene impostata questa politica di sicurezza?