Google Apps 脚本在 Javascript 中获取 iFrame 的父 URL

Posted 2023-03-04

【中文标题】Google Apps 脚本在 Javascript 中获取 iFrame 的父 URL

【英文标题】：Google Apps script get Parent URL to iFrame in Javascript

【发布时间】：2018-03-30 20:00:48

【问题描述】：

我已经搜索了很多论坛，并且非常有信心这不会，但我想我会向社区开放以防万一；）

我的任务是在我们的 Google 协作平台页面上创建一个工具，用于记录我们员工在访问某个页面后的访问时间。它有助于确认文档访问和活动日志的合规性。如果 iFrame 与其托管的页面位于同一域中，则从框架内查询父页面的 URL 相当容易，但安全限制限制了跨域或子域。

我希望将 Google 应用程序脚本嵌入到 Google 网站页面这一事实会给我提供更多选择。到目前为止，我已经尝试过命令 document.referrer、parent.document.location、parent.window.document.location、 parent.window.location、parent.document.location.href，以及来自窗口和文档视角的相同命令。他们的反应都是一样的：

  https://n-labp6vtqrpsdn12345neycmicqw7krolscvdkda-0lu-script.googleusercontent.com/userCodeAppPanel

当我想要时：

 https://sites.google.com/mysite.com/mysite/test/test3

有没有谷歌老手有额外的技巧？

编辑：我刚刚尝试通过 html 链接将变量传递给 Google 站点上的 Apps 脚本的 Google 图片占位符，并获得了一点点更远。你看，如果我在单独的窗口中运行 url，我可以运行这个 url：https://script.google.com/a/macros/coordinationcentric.com/s/AKfycbxDX2OLs4LV3EWmo7F9KuSFRljMcvYz6dF0Nm0A2Q/exec?test=hello&test2=howareyou 并获取变量 test1 和 test2。如果我尝试将该 URL 嵌入到 Google 协作平台上的 HTML 页面中，则会引发以下混合内容错误：

  trog_edit__en.js:1544 Mixed Content: The page at 
 'https://sites.google.com/a/mysite.com/mysite/test/test3' was loaded over HTTPS, but requested an insecure image 'http://www.google.com/chart?chc=sites&cht=d&chdp=sites&chl=%5B%5BGoogle+Apps+Script%27%3D20%27f%5Cv%27a%5C%3D0%2710%27%3D499%270%27dim%27%5Cbox1%27b%5CF6F6F6%27fC%5CF6F6F6%27eC%5C0%27sk%27%5C%5B%22Apps+Script+Gadget%22%27%5D%27a%5CV%5C%3D12%27f%5C%5DV%5Cta%5C%3D10%27%3D0%27%3D500%27%3D197%27dim%27%5C%3D10%27%3D10%27%3D500%27%3D197%27vdim%27%5Cbox1%27b%5Cva%5CF6F6F6%27fC%5CC8C8C8%27eC%5C%27a%5C%5Do%5CLauto%27f%5C&sig=TbGPi2pnqyuhJ_BfSq_CO5U6FOI'. This content should also be served over HTTPS.

也许有人尝试过这种方法？

【问题讨论】：

在继续搜索中，我在blog.knoldus.com/2011/07/31/… 发现了一个有趣的帖子，其中涉及将应用程序脚本包装在一个 xml 文件中并将页面引用传递给应用程序。不过，在我的尝试中，我在尝试调用我的站点上的托管脚本时遇到了另一个跨域错误（主站点是一个私有 Intranet，无法根据需要托管指向 xml 文件的公共链接）。有没有人成功尝试过类似的东西？

【参考方案1】：

简而言之 - 我知道无法从 Google 协作平台中的 iFrame 调查父 URL。

iframe/嵌入内容的内容托管在所有地方，与网站本身分开。同源规则会阻止您发现的检查。

您的第一个 URL“https://n-labp...googleusercontent.com...”是脚本本身的托管位置。脚本的任何输出（例如 HTML）似乎都来自这里。

您可以使用嵌入功能将 HTML 和 javascript 直接嵌入到站点中。如果您对此进行调查，您会发现它的托管地址类似于“https://1457130292-atari-embeds.googleusercontent.com...”

调用父级总是会给出这个基于 *-atari 的 URL，而不是它所在的实际页面。

一个相当轻量级的解决方案是结合使用两者。 使用简单的 doGet ping 并在您的 Apps 脚本中处理工作。

在您的网站上，使用嵌入功能插入：

<!DOCTYPE html>
<html>
<body onbeforeunload="return depart()">
<script>
var page = "testpage"; // manually set a name for each page you paste this code in to
var script = "https://script.google.com/macros/s/... your script, ending with exec ...";

fetch(script+"?page="+page+"&direction=arrive");

function depart()
fetch(script+"?page="+page+"&direction=depart");

</script>
</body>
</html>

然后在您的 Apps 脚本中：

function doGet(e)
var httpParams = e.parameter ? e.parameter : "";
// params is an object like "page": "testpage1", "n": "1"
var getPage = httpParams.page ? httpParams.page : "";
var getDirection = httpParams.direction ? httpParams.direction : "";

/* Handle it as you please, perhaps like: */

var user = Session.getActiveUser().getEmail();
/* maybe use a temporary active key if open to non-Google users */
/* first-time Google users will have to authenticate, so embed one frame somewhere full-size maybe, or just tell users to go to the script's link */

/* hand off to a helper script */
var time = new Date();
var timeUTC = time.toUTCString(); // I like UTC
doSomethingWithThis(user, direction, timeUTC);
/* etc... */

/* Return some blank HTML so it doesn't look too funny */
return HtmlService.createHtmlOutput("<html><body></body></html>");

然后发布为网络应用程序。如果您将使用临时活动密钥而不是 Google 帐户，那么您将让脚本像您一样运行，并且任何人都可以使用，甚至是匿名的。

您可能已经解决了这个问题，但我希望它可以对偶然发现它的其他人有用！

【讨论】：

这对我很有帮助。我只是希望你能完成函数 doSomethingWithThis(user, direction, timeUTC);我有 webapp 并准备了登录表单，现在我想让用户登录几天，然后在过期后，用户将再次收到登录表单页面的提示。如何让用户保持登录状态？