浏览器不是有同域限制的么?
如果两个页面的一级域名不同,那iframe里的页面怎么能控制外部页面呢?
当然,如果两个页面只是二级域名不同,比如a.segmentfault.com和b.segmentfault.com之间,可以通过JS将两个页面的document.domain设置为一样的,
document.domain=segmentfault.com;
这样两个页面的JS可以互相调用。这种特性可以用来在一个一级域名下的两个二级域名之间做跨域请求。
但是如果一级域名不一样,是没有直接控制的可能的,浏览器直接就给返回错误了,怎么产生威胁的呢?