绕过同源策略以从跨域 iframe 中获取页面的顶部 URL
Get around same-origin policy to get top URL of a page from inside a cross-domain iframe
我在第 3 方网站的 iframe 中有一些代码 运行。有些会直接在首页,有些会在另一个 iframe 中,其中一些可能是跨域的。我需要找到一种方法来使用任何必要的方法来获取首页的 URL 值。
由于跨域策略,我最多只能向上移动,直到浏览器停止代码正在执行的操作。我发现错误并查看我所在的当前 window 上下文的引荐来源网址。大多数情况下,此页面上方的页面是首页,但不一定。
我能看到的唯一方法是建立一个 URL 的列表,我认为这是首页,然后发送一个带有 JS 浏览器的机器人通过查看 iframe 我的代码进行验证up to 实际上是直接嵌套在其中。
虽然这仍然不是特别准确,但我相信一定有另一种方法...
感谢任何能提供帮助的人。
如果不与某种外部系统通信,绝对不可能。如果浏览器允许,cleanest/most 收集数据的准确方法是获取顶部 window URL,但要捕获错误并使用带有标志的引荐来源网址以注明它是引荐来源网址。
在 Chrome 和 Opera 中(在多个嵌套的 cross-domain iframe 中)实际上有一种获取域的方法,但在其他浏览器中是不可能的。
您需要使用 'window.location.ancestorOrigins' 属性.
我在下面创建了一段代码,它应该适合你,如果你认为你可以改进代码或评论,请不要犹豫编辑 Github 上的要点,这样我们就可以它甚至更好:
要点:https://gist.github.com/ocundale/281f98a36a05c183ff3f.js
代码(ES2015):
// return topmost browser window of current window & boolean to say if cross-domain exception occurred
const getClosestTop = () => {
let oFrame = window,
bException = false;
try {
while (oFrame.parent.document !== oFrame.document) {
if (oFrame.parent.document) {
oFrame = oFrame.parent;
} else {
//chrome/ff set exception here
bException = true;
break;
}
}
} catch(e){
// Safari needs try/catch so sets exception here
bException = true;
}
return {
'topFrame': oFrame,
'err': bException
};
};
// get best page URL using info from getClosestTop
const getBestPageUrl = ({err:crossDomainError, topFrame}) => {
let sBestPageUrl = '';
if (!crossDomainError) {
// easy case- we can get top frame location
sBestPageUrl = topFrame.location.href;
} else {
try {
try {
// If friendly iframe
sBestPageUrl = window.top.location.href;
} catch (e) {
//If chrome use ancestor origin array
let aOrigins = window.location.ancestorOrigins;
//Get last origin which is top-domain (chrome only):
sBestPageUrl = aOrigins[aOrigins.length - 1];
}
} catch (e) {
sBestPageUrl = topFrame.document.referrer;
}
}
return sBestPageUrl;
};
// To get page URL, simply run following within an iframe on the page:
const TOPFRAMEOBJ = getClosestTop();
const PAGE_URL = getBestPageUrl(TOPFRAMEOBJ);
如果有人想要标准 ES5 中的代码,请告诉我,或者直接 运行 通过在线转换器。
我在第 3 方网站的 iframe 中有一些代码 运行。有些会直接在首页,有些会在另一个 iframe 中,其中一些可能是跨域的。我需要找到一种方法来使用任何必要的方法来获取首页的 URL 值。
由于跨域策略,我最多只能向上移动,直到浏览器停止代码正在执行的操作。我发现错误并查看我所在的当前 window 上下文的引荐来源网址。大多数情况下,此页面上方的页面是首页,但不一定。
我能看到的唯一方法是建立一个 URL 的列表,我认为这是首页,然后发送一个带有 JS 浏览器的机器人通过查看 iframe 我的代码进行验证up to 实际上是直接嵌套在其中。
虽然这仍然不是特别准确,但我相信一定有另一种方法...
感谢任何能提供帮助的人。
如果不与某种外部系统通信,绝对不可能。如果浏览器允许,cleanest/most 收集数据的准确方法是获取顶部 window URL,但要捕获错误并使用带有标志的引荐来源网址以注明它是引荐来源网址。
在 Chrome 和 Opera 中(在多个嵌套的 cross-domain iframe 中)实际上有一种获取域的方法,但在其他浏览器中是不可能的。
您需要使用 'window.location.ancestorOrigins' 属性.
我在下面创建了一段代码,它应该适合你,如果你认为你可以改进代码或评论,请不要犹豫编辑 Github 上的要点,这样我们就可以它甚至更好:
要点:https://gist.github.com/ocundale/281f98a36a05c183ff3f.js
代码(ES2015):
// return topmost browser window of current window & boolean to say if cross-domain exception occurred
const getClosestTop = () => {
let oFrame = window,
bException = false;
try {
while (oFrame.parent.document !== oFrame.document) {
if (oFrame.parent.document) {
oFrame = oFrame.parent;
} else {
//chrome/ff set exception here
bException = true;
break;
}
}
} catch(e){
// Safari needs try/catch so sets exception here
bException = true;
}
return {
'topFrame': oFrame,
'err': bException
};
};
// get best page URL using info from getClosestTop
const getBestPageUrl = ({err:crossDomainError, topFrame}) => {
let sBestPageUrl = '';
if (!crossDomainError) {
// easy case- we can get top frame location
sBestPageUrl = topFrame.location.href;
} else {
try {
try {
// If friendly iframe
sBestPageUrl = window.top.location.href;
} catch (e) {
//If chrome use ancestor origin array
let aOrigins = window.location.ancestorOrigins;
//Get last origin which is top-domain (chrome only):
sBestPageUrl = aOrigins[aOrigins.length - 1];
}
} catch (e) {
sBestPageUrl = topFrame.document.referrer;
}
}
return sBestPageUrl;
};
// To get page URL, simply run following within an iframe on the page:
const TOPFRAMEOBJ = getClosestTop();
const PAGE_URL = getBestPageUrl(TOPFRAMEOBJ);
如果有人想要标准 ES5 中的代码,请告诉我,或者直接 运行 通过在线转换器。