Iframe 可以跨子域访问父页面的 URL 吗？

从 iframe 访问父页面的 URL

尽管位于同一个域，但经常会出现无法通过 iframe 检索父页面 URL 的情况当子域不同时。此行为引发了一个问题：跨站脚本 (XSS) 是否会扩展到子域？

了解限制

答案在于浏览器的安全措施。尽管主页和 iframe 共享一个域（例如 www.mysite.com），但子域的区别（例如 www 与 qa-www）属于不同的“起源”。这种分离可以防止恶意行为者跨不同网站及其子域访问和操纵数据。

替代解决方案

由于 XSS，直接访问父页面的 URL 受到限制顾虑，替代方法可以提供必要的信息。要获取父页面的URL（即浏览器URL），可以使用以下代码：

var url = (window.location != window.parent.location)
            ? document.referrer
            : document.location.href;

注意：

• window.parent.location 可访问并避免安全错误。
• document.referrer 如果外部源影响了 iframe 的位置，则可能并不总是返回包含文档的 URL。
• document.location 指的是当前文档（iframe）及其 URL。如果 iframe 和父级共享相同的 href，它会提供所需的父级 URL。

以上是Iframe 可以跨子域访问父页面的 URL 吗？的详细内容。更多信息请关注PHP中文网其他相关文章！