Qualquer pessoa que teve que fazer uma integração com um iframe de terceiros e ter o javascript em execução provavelmente teve problemas de XSS. Obviamente, queremos que nossos navegadores nos protejam e não permitam XSS (a menos que queiramos, é claro ).
Para que uma ação em um iframe hospedado externamente implemente uma função que você escreveu em seu frame pai, você precisará fazer algumas coisas:
Certifique-se de que o domínio raiz da tag src do iframe corresponda ao domínio raiz de seu quadro pai. Normalmente, isso é feito criando um registro CNAME no domínio pai e trabalhando com o provedor terceirizado para garantir que ele seja resolvido corretamente.
Defina seu document.domain no pai para o domínio raiz (domain.com).
O provedor de terceiros provavelmente permitirá que um parâmetro seja passado para a tag src que eles usam para definir o document.domain em seu final.
Finalmente, você desejará depurar para certificar-se de que document.domain está definido com o mesmo valor no quadro pai e no iframe. Aqui está um link muito útil sobre como mudar o foco do console no Firebug para o iframe para que você possa executar “document.domain” no console e ver se os valores são os mesmos. Isso evitará que você tenha que ter muitas conversas com terceiros.
cd (quadros [0]); ou
cd (frames [“iframe canvas”]); onde iframe canvas é o ID do iframe. **
Você pode retornar ao quadro pai com cd (topo);
Link completo : artigo em Stack Overflow