Chrome 又搞事情，这种跨域方案要被禁用了！

一句话描述

document.domain

别着急，预计最早变化时间是

Chrome 101

版本，现在最新版是

97

。

对我们有啥影响？

如果你的业务里有通过更改

document.domain

用

document.domain

是咋跨域的？

跨域老生常谈的话题了，大家应该都清楚的很，再来啰嗦一遍。

简单的说：

如果网页的：

协议、域名、端口

我们通过了一些手段，可以绕过这个限制，让非同源的资源也能互相访问，这就是跨域。

那么用

document.domain

假如我们有这样一个场景：

我们在一个页面

https://a.conardli.com

iframe

https://b.conardli.com

conardli.com

这时候，因为浏览器的同源策略限制，我们主页面和

iframe

但是，当两个页面的

document.domain

conard.com

这时候主页面就可以和

iframe

iframe

document

另外，还有个场景，我们本地调试的时候可能经常会用到：相同域名、不同端口间的跨域。

比如，上面两个网页，在还没上线的时候，可能我们这时候要在本地调试功能，可能把它们部署在本地的不同端口上：

• http://localhost:8888/

• http://localhost:6666/

默认情况下它俩肯定也是不能跨域通信的，这时候我们可以把它们的

document.domain

localhost

用的好好地，为啥要禁用捏？

不安全呀。

你觉的二级域名一样的域名一定属于同一个业务吗？

那可不一定，比如一个第三方的页面托管服务，它可能只有一个二级域名

xxx.com

不同的个人用户使用它的服务的时候可以定制自己的域名。

小明.xxx.com

小花.xxx.com

这时候，这种跨域的方式就可能被滥用了。

所以，

Chrome

有啥替代方案啊？

不慌，还有

postMessage

大多数场景里面，

postMessage()

Channel Messaging API

document.domain

主页面：

https://a.conardli.com

// 给 https://b.conardli.com 发消息

iframe

https://b.conardli.com

// 接收信息

我就想用

document.domain

咋整？

可能你的网站改造起来有点麻烦，或者你对

document.domain

给你的网页增加下面这个

Header

Origin-Agent-Cluster: ?0

但是，

Origin-Agent-Cluster

Header