JavaScript操作iframe需先获取引用，同源时通过contentDocument或contentWindow访问DOM和脚本，须等待load事件；跨域时只能用postMessage通信，并校验origin。

JavaScript 操作 iframe 的核心在于正确获取 iframe 的引用，并在同源前提下访问其 DOM 或执行脚本；跨域时不能直接访问，必须通过 postMessage 进行安全通信。

获取 iframe 元素并访问同源内容

如果 iframe 与父页面同源（协议、域名、端口完全一致），可直接操作其内部文档：

• 用 document.getElementById('myIframe') 或 querySelector 获取 iframe 元素
• 通过 iframe.contentDocument 或 iframe.contentWindow.document 访问子页面 DOM
• 用 iframe.contentWindow 调用子页面的 JS 函数或变量（需已加载完成）

注意：务必等 iframe 加载完成再操作，推荐监听 load 事件：

向 iframe 写入 HTML 内容（同源）

适用于动态生成简单页面，不依赖外部资源：

• 先清空 iframe 的 src（设为 about:blank 防止跨域限制）
• 用 iframe.contentDocument.write(htmlStr) 写入内容
• 写完后调用 document.close() 关闭流，确保渲染

示例：

跨域 iframe 通信：必须用 postMessage

不同源时，浏览器会阻止直接访问 iframe 的任何属性或方法。唯一标准且安全的方式是 postMessage：

• 父页向子页发消息：iframe.contentWindow.postMessage(data, targetOrigin)
• 子页监听：window.addEventListener('message', handler)，检查 event.origin 和 event.source 验证来源
• targetOrigin 必须写具体域名（如 'https://example.com'），不可用 '*'（除非完全信任）

子页回传消息也用 event.source.postMessage()，实现双向通信。

常见问题与注意事项

实际开发中容易踩坑的地方：

• iframe 尚未加载完成就尝试访问 contentDocument → 触发 SecurityError 或 null 报错
• 跨域时误用 iframe.contentWindow.location → 浏览器直接拒绝，不报错但无效
• 未校验 event.origin 就处理消息 → 存在 XSS 或伪造消息风险
• 父页监听了 message，但子页没触发 load 或未正确绑定事件 → 消息丢失

跨域通信本质是异步事件驱动，没有“等待响应”的内置机制，如需同步效果，需自行设计应答约定（例如附带 id 字段 + Promise 缓存）。