如何从 iframe 获取当前页面加载的 url [重复]

Posted

技术标签:

【中文标题】如何从 iframe 获取当前页面加载的 url [重复]【英文标题】:How to get current page loaded url from iframe [duplicate] 【发布时间】:2014-11-21 04:54:43 【问题描述】:

当我使用 faroo 搜索并移动到其他网页时,我正在使用 iframe 将 faroo.com 作为默认 src 加载到框架中。但仍然在 iframe src 中显示 faroo.com,我只想捕获具有在 iframe 中加载

<!DOCTYPE html>
<html>
<head>
    <script src="http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.11.1.min.js"></script>
    <script type="text/javascript">
    $(function()
        $('#frameid').load(function()
            var z=$('#frameid').attr('src');
            console.log('hi '+z);
        );

        $('#clicked').on('click', function()
            $('#frameid').attr('src', 'http://www.faroo.com/');    
        );
    );

</script>

</head>
<body>

<iframe   id="frameid" src="" name="iframe_a" ></iframe>

<p><input type="button" value="click me!" id="clicked"></p>

</body>
</html>

console.log 的 o/p 始终是 faroo.com,而不是当前加载的网站

【问题讨论】:

如果您正在寻找 iframe 的“父”页面的 url,请参阅***.com/q/3420004/32453 【参考方案1】:

为了安全起见,只要 iframe 的内容和引用的 javascript 托管在同一个域中,您就可以检索 URL。

如果是这样,你可以这样做:

document.getElementById("frameid").contentWindow.location.href

如果这两个域不同,那么您将拥有适用于 cross-site reference scripting 域的所有限制。示例:

document.getElementById("frameid").src = 'http://www.google.com/';
alert(document.getElementById("frameid").documentWindow.location.href);

Error: Permission denied to get property Location.href

当然(除非您在浏览器中发现一些巨大的安全漏洞)您只是无法实现在父文档中使用javascript 所需的功能。让我们看一个简单的例子为什么。如果浏览器允许您的需要,您可以轻松:

    创建一个带有隐藏 iframe 的页面(例如 http://malicous.com/dont-trust) 在该 iframe 中,打开一个子页面,其中包含某些网站的登录过程(例如 http://insecure-web-site.com/redirectlogin) 如果存在针对儿童的 cookie,并且在某些情况下,框架内的页面将重定向到真实网站,并继续进行用户登录。 现在,您将能够从父页面读取 URL 中包含的登录过程中包含的所有敏感信息,例如访问令牌、会话 ID、... 此时,受害网站及其用户面临一系列新的可能的安全威胁...

【讨论】:

也许 document.getElementById('myframe').contentWindow.document.location.href 会起作用 还有其他方法吗?我正在尝试创建一个虚拟浏览器,它可以记录它访问过的页面的 URL 作为历史记录。 我不认为你可以用 JS 做到这一点。查看更新的答案。 提供的示例没有任何意义。如果用户在他的浏览器中看到 URL “malicious.com”并且他继续输入他的登录信息,对 iframe 的安全限制不会保护他。 @Dodekeract 是对的,但人们不检查网址。更大的问题是,如果您单击指向 malicous.com 的链接,然后它通过重定向加载 insecure-web-site.com/user/youruserID,则 malicous.com 会知道您的用户 ID 或安全令牌,或者它不应该知道的东西。 【参考方案2】:

似乎有一个 hack 可以使这项工作有效,我什至不敢相信它甚至被允许。它似乎是这样工作的:

1) 更改域以匹配 iframe:

document.domain = <iframe_domain>

2) 像这样获取 URL:

console.log($('iframe')[0].contentWindow.location.href)

在我看来,这不应该有效,但确实有效。截至 2017 年 2 月 1 日,我在 Safari、Chrome 和 Firefox 中使用以下所有最新版本进行了测试:

主要:http://subdomain.website.com iframe:http://www.website.com

你怎么看?这是永久允许的,还是将很快修补的疏忽?

更新

我在这里发起了另一个线程来讨论浏览器安全性。

Isn't This A Serious Browser Security Issue? RE: Cross-Domain iframe Hack

更新 2

似乎在特定情况下始终支持此功能。

https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy

【讨论】:

以上是关于如何从 iframe 获取当前页面加载的 url [重复]的主要内容,如果未能解决你的问题,请参考以下文章

如何在 Selenium 中获取当前页面的 Web 加载 HTML?

Vue路由器如何在页面加载时获取延迟加载模块的当前路由路径?

Xamarin Forms - 在页面加载时使用异步数据加载 Picker 控件

JQuery可以获取从另一个页面传过来的值吗

四级地址插件升级改造(京东商城地址选择插件)city-picker

页面在获取当前位置时未加载