老系统里依赖iframe跨源嵌套的情况并不少见。但火狐浏览器从某个版本开始默认启用了COOP（Cross-Origin-Opener-Policy）策略，这一下子就把跨源窗口给隔离了。

结果就是：parent拿不到iframe的引用，opener变成null，postMessage发不过去，甚至直接白屏。

要恢复老系统的兼容性，关键就是把这个COOP给它关掉。

确认当前 COOP 策略是否生效

操作很简单：打开目标网页，按F12进开发者工具，切到Network标签，刷新页面后随便点一个HTML请求，看响应头里有没有cross-origin-opener-policy这个字段。

只要看到值里带same-origin、same-origin-allow-popups或restrict-properties，就说明COOP正生效，得想办法干预。

服务端移除 COOP 响应头（推荐优先操作）

COOP是服务器通过响应头塞给浏览器的，浏览器只是照单执行。所以最彻底的办法就是让后端别发这个头。

• Apache操作：找到配置文件里类似Header set Cross-Origin-Opener-Policy "same-origin"的行，直接删掉或注释掉即可。
• Nginx操作：把add_header Cross-Origin-Opener-Policy 'same-origin';这行干掉。

【关键前提】如果网站托管在CDN或WAF后面（比如Cloudflare、阿里云WAF），就算源站已经把响应头去掉了，CDN还是可能自动给你加上。必须登录对应平台的控制台，在“HTTP响应头”或“安全策略”模块里搜索一下，把COOP相关的规则关掉。

客户端临时绕过（仅限开发/测试环境）

• 方法一：用Firefox开发者工具覆盖响应头（单次有效）。在Network面板里右键目标HTML请求，选“Open in New Tab”，新标签页会以独立上下文加载，不受原页面COOP影响，可以正常调试iframe嵌套行为。
• 方法二：通过about:config强制忽略COOP（影响全局，慎用）。地址栏输入about:config，接受风险，搜索security.csp.enable，双击设为false。注意这个操作同时会禁用CSP，只适合离线测试环境。

【不可逆风险】关闭CSP会让页面彻底暴露在XSS、数据注入等攻击下，生产环境绝对不能用这个设置。

替代性兼容方案（无需禁用 COOP）

如果你不想动服务器配置，或者生产环境无法关闭COOP，还有三条路可以走。

1. 放宽iframe的sandbox属性

原来可能是，改成。其中allow-same-origin是关键，它允许跨源iframe在沙箱里模拟同源环境，从而绕过部分COOP限制。

2. 父页面主动加上rel="noopener"

放弃对window.opener的依赖。所有window.open(url, '_blank')都改成window.open(url, '_blank', 'noopener')，这样就算COOP把opener清空了也不会报错。同时改用postMessage来做跨窗口通信，别再直接操作DOM了。

3. 检查iframe页面自身是否也设置了COOP

如果被嵌套的页面（比如legacy-system.com/app）自己就返回了Cross-Origin-Opener-Policy: same-origin，那它内部的子窗口照样会被隔离。这种情况必须去改iframe页面的服务端响应头，光在父页面折腾是没用的。