Können Iframes über Subdomains hinweg auf die URL der übergeordneten Seite zugreifen?

Zugriff auf die übergeordnete URL über einen Iframe

Obwohl sie sich in derselben Domain befinden, ist es häufig nicht möglich, die URL der übergeordneten Seite über einen Iframe abzurufen wenn sich die Subdomains unterscheiden. Dieses Verhalten wirft die Frage auf: Erstreckt sich Cross-Site-Scripting (XSS) auf Subdomains?

Verstehen der Einschränkung

Die Antwort liegt in den Sicherheitsmaßnahmen des Browsers. Auch wenn die Hauptseite und der Iframe eine gemeinsame Domain haben (z. B. www.mysite.com), fällt die Unterscheidung der Subdomains (z. B. www vs. qa-www) unter unterschiedliche „Ursprünge“. Diese Trennung verhindert, dass böswillige Akteure über verschiedene Websites und deren Subdomains hinweg auf Daten zugreifen und diese manipulieren.

Alternative Lösung

Während der direkte Zugriff auf die URL der übergeordneten Seite aufgrund von XSS eingeschränkt ist Bei Bedenken kann ein alternativer Ansatz die notwendigen Informationen liefern. Um die URL der übergeordneten Seite (d. h. die Browser-URL) zu erhalten, kann der folgende Code verwendet werden:

var url = (window.location != window.parent.location)
            ? document.referrer
            : document.location.href;

Hinweis:

• window.parent.location ist zugänglich und vermeidet Sicherheitsfehler.
• document.referrer gibt möglicherweise nicht immer die URL des enthaltenden Dokuments zurück, wenn eine externe Quelle den Speicherort des Iframes beeinflusst hat.
• document.location bezieht sich auf das aktuelle Dokument (den Iframe) und seine URL. Es stellt die gewünschte übergeordnete URL bereit, wenn der Iframe und das übergeordnete Element dieselbe href verwenden.

Das obige ist der detaillierte Inhalt vonKönnen Iframes über Subdomains hinweg auf die URL der übergeordneten Seite zugreifen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!