这个问题我帮不少开发者踩过坑——只在父页面单独设置document.domain是没用的，同源策略下的document.domain机制要求父页面和Iframe页面必须同时显式设置完全相同的域名值，哪怕其中一方的原生域名本来就是这个目标值。

具体操作步骤： #

1. 父页面（http://abc.example.com）的配置
   你这一步已经做对了，但要确保在页面加载的早期（比如<head>标签里）就设置，避免后续上下文锁定：

   // 父页面代码
   document.domain = "example.com";
   

2. Iframe页面（http://example.com）的关键配置（你大概率漏掉了这个！）
   哪怕Iframe的原生域名就是example.com，也必须显式在Iframe页面里设置同样的document.domain：

   // Iframe页面的代码
   document.domain = "example.com";
   

   别觉得这是多此一举——浏览器的同源策略会把「未主动设置document.domain的页面」和「主动设置过的页面」视为不同的安全上下文，哪怕域名字符串看起来完全一致。

3. 务必等Iframe加载完成再访问
   心急吃不了热豆腐，一定要等Iframe完全加载完毕后再尝试访问它的内容，否则时机不对也会触发跨域错误：

   // 父页面中监听Iframe加载完成事件
   const targetIframe = document.getElementById('your-iframe-id');
   targetIframe.onload = function() {
     // 现在可以安全访问Iframe的内容了
     const iframeDocument = targetIframe.contentDocument || targetIframe.contentWindow.document;
     // 这里写你的操作，比如获取元素、调用方法
     console.log(iframeDocument.body);
   };
   

额外要注意的细节： #

• 协议和端口必须完全一致：父页面和Iframe要么都用http，要么都用https，端口也要相同（默认80/443的话不用额外配置），否则document.domain的设置直接失效。
• 不能乱设顶级域名：别尝试把document.domain设成.com这种顶级域名，浏览器会直接拒绝这种无效配置，必须设为当前域名的有效父级域名。

如果做完这些还是报错，建议去浏览器控制台看具体的错误提示，排查是不是有CSP（内容安全策略）之类的其他安全规则限制了Iframe的访问。

内容的提问来源于stack exchange，提问作者Jonathan Smith