Функция ответа laravel () неправильно устанавливает источник iframe

Question

Функция ответа laravel () неправильно устанавливает источник iframe

У меня есть приложение Laravel 5.7. у меня есть iframe на одной странице с

<iframe src="{{ url('pdf') }}" width="100%" height="80%" id="frame_id" name="test_frame"></iframe>

когда

Route::get('/pdf', function () {  
    return 'abc';
});

тогда внутри консоли я пишу

window.frames["frame_id"].contentWindow.origin => http://cms.test

но когда

Route::get('/pdf', function () {
    return response()->file('test.pdf');
});

затем

window.frames["frame_id"].contentWindow.origin

=> SecurityError: Permission denied to access property "origin" on cross-origin object

почему происхождение меняется в обоих случаях? как это исправить, так как из-за перекрестного происхождения я не могу манипулировать iframe dom

0

javascript laravel iframe xss allow-same-origin

Источник

user6571807 04 фев '19 в 19:49

1 ответ

Другие вопросы по тегам javascript laravel iframe xss allow-same-origin

user10981200 04 фев '19 в 21:07 2019-02-04 21:07 · Answer 1 · 2019-02-04 21:07

Вышеприведенное объяснение не дает понять, что вы пытаетесь сделать, но посмотрите на эту страницу, чтобы узнать, как правильно настроить параметры подделки межсайтовых запросов.

Важно понимать, что такое CSRF. По сути, это функция безопасности, которая не позволяет мне копировать ваш HTML, модифицировать его для выполнения чего-то, что вы не намеревались, а затем отправлять запрос с чем-то, что может использовать ваш сайт.

Чтобы заставить вашу логику работать, вам необходимо обойти встроенное промежуточное программное обеспечение CSRF Laravel. Для производственных серверов я бы НЕ удалял его, но для тестирования вы можете просто закомментировать строку, содержащую "\App\Http\Middleware\VerifyCsrfToken::class" в вашем файле Kernel.php, и это должно сработать.