Iframe 可以跨子網域存取父頁面的 URL 嗎？

從iframe 訪問父頁的URL

儘管位於同一個域，但經常會出現無法透過iframe 檢索父頁URL 的情況當子域不同時。此行為引發了一個問題：跨站腳本 (XSS) 是否會擴展到子網域？

了解限制

答案在於瀏覽器的安全措施。儘管主頁和 iframe 共享一個網域（例如 www.mysite.com），但子網域的區別（例如 www 與 qa-www）屬於不同的「起源」。這種分離可以防止惡意行為者跨不同網站及其子網域存取和操縱資料。

替代解決方案

由於 XSS，直接存取父頁的 URL 受到限制顧慮，替代方法可以提供必要的資訊。要取得父頁的URL（即瀏覽器網址），可以使用以下程式碼：

var url = (window.location != window.parent.location)
            ? document.referrer
            : document.location.href;

注意：

• window.parent .location 可存取並避免安全錯誤。
• document.referrer 如果外部來源影響了 iframe 的位置，則可能不會總是傳回包含文件的 URL。
• document.location 指的是目前文件（iframe）及其 URL。如果 iframe 和父級共用相同的 href，它會提供所需的父級 URL。

以上是Iframe 可以跨子網域存取父頁面的 URL 嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！