好的,我有一个页面在这个页面上有一个iframe。我需要做的是在iframe页面上,找出主页面的URL是什么。

我四处搜索,我知道这是不可能的,如果我的iframe页面是在不同的域,因为这是跨站脚本。但我读过的所有地方都说,如果iframe页面与父页面在同一个域上,它应该工作,例如:

parent.document.location
parent.window.document.location
parent.window.location
parent.document.location.href

…或者其他类似的组合,因为似乎有多种方法可以获得相同的信息。

不管怎样,问题来了。我的iframe与主页在同一个域上,但不是在同一个SUB域上。举个例子

http:// www.mysite.com/pageA.html

然后我的iframe URL是

http:// qa-www.mysite.com/pageB.html

当我试图从pageB.html (iframe页面)抓取URL时,我一直得到相同的访问拒绝错误。因此,即使子域也可以算作跨站脚本,这是正确的,还是我做错了什么?


当前回答

我知道他的是超级老,但它让我震惊,没有人建议只是从一个域名传递cookie到另一个域名。当您使用子域时,您可以通过将cookie设置为url .basedomain.com,从基本域共享cookie到所有子域

然后你可以通过cookies分享你需要的任何数据。

其他回答

我不能得到以前的解决方案的工作,但我发现,如果我设置iframe scr与例如http:otherdomain.com/page.htm?from=thisdomain.com/thisfolder然后我可以,在iframe提取thisdomain.com/thisfolder使用以下javascript:

var myString = document.location.toString();
var mySplitResult = myString.split("=");
fromString = mySplitResult[1];

PHP $_SERVER['HTTP_REFFERER']的问题是它给出了将您带到父页面的页面的完全限定页面url。这和父页面本身不一样。更糟糕的是,有时没有http_referer,因为用户输入了父页面的url。如果我从yahoo.com到你的父页面,yahoo.com就变成http_referer,而不是你的页面。

var url = (window.location != window.parent.location) ? document.referrer: document.location;

我发现上面的例子建议以前工作时,脚本正在执行的iframe,但它没有 当脚本在iframe之外执行时检索url, 需要稍作调整:

var url = (window.location != window.parent.location) ? document.referrer: document.location.href;

下面这行就可以了:document.location。ancestry origins[0]这个返回祖先域名。

假设你要告诉父页面如何设置iframe,以轻松但不安全的方式获得包含路径和URL参数的完整URL,在指定iframe时包含referrerpolicy=" not - safe- URL ":

<iframe src="https://example.com/innersite" referrerpolicy="unsafe-url" title="My Title"></iframe>

然后你可以得到完整的原始URL:

document.referrer

许多其他答案只有当iframe src与父域相同时才有效。

Fallbacks:

如果存在安全问题,您可以像https://stackoverflow.com/a/5697801/1226799所说的那样进行回退,其中父节点在iframe URL的URL参数中显式地发送其URL,但攻击者可以很容易地伪造这一点。

我相信您还可以使用消息传递并检查事件的起源:https://stackoverflow.com/a/61548595/1226799