Accéder à l'URL parent à partir d'un iframe

Question

Ok, j'ai une page sur et sur cette page j'ai un iframe. Ce que je dois faire, c'est trouver l'URL de la page principale sur la page de l'iframe.

J'ai fait des recherches et je sais que ce n'est pas possible si ma page iframe se trouve sur un domaine différent, car il s'agit de cross-site scripting. Mais tout ce que j'ai lu dit que si la page iframe est sur le même domaine que la page parent, cela devrait fonctionner si je fais par exemple :

parent.document.location

parent.window.document.location

parent.window.location

parent.document.location.href

... ou d'autres combinaisons similaires, car il semble y avoir plusieurs façons d'obtenir la même information.

Quoi qu'il en soit, voici le problème. Mon iframe est sur le même domaine que la page principale, mais il n'est pas sur le même domaine SUB. Ainsi, par exemple, j'ai

http:// www.mysite.com/pageA.html

et l'URL de mon iframe est

http:// qa-www.mysite.com/pageB.html

Lorsque j'essaie de récupérer l'URL de pageB.html (la page iframe), je continue à obtenir la même erreur d'accès refusé. Il semble donc que même les sous-domaines soient considérés comme des scripts intersites. Est-ce exact, ou est-ce que je fais quelque chose de mal ?

Answer 1

Oui, l'accès à l'URL de la page parent n'est pas autorisé si l'iframe et la page principale ne se trouvent pas dans le même (sous-)domaine. Toutefois, si vous avez seulement besoin de l'URL de la page principale (c'est-à-dire l'URL du navigateur), vous pouvez essayer ceci :

var url = (window.location != window.parent.location)
            ? document.referrer
            : document.location.href;

Note :

window.parent.location est autorisé ; cela permet d'éviter l'erreur de sécurité dans l'OP, qui est causée par l'accès à l'adresse de l'utilisateur. href propriété : window.parent.location.href cause "Bloqué un cadre avec origine..."

document.referrer fait référence à "l'URI de la page qui renvoie à cette page". Cela peut pas retourner le contenant document si une autre source est à l'origine de la iframe l'emplacement, par exemple :

• Container iframe @ Domaine 1
• Envoie l'iframe enfant au domaine 2
• Mais dans l'iframe enfant... Le domaine 2 redirige vers le domaine 3 (c'est-à-dire pour l'authentification, peut-être SAML), et ensuite le domaine 3 dirige dos au domaine 2 (c'est-à-dire via la soumission de formulaire(), une technique SAML standard)
• Pour l'iframe enfant, le document.referrer sera Domaine 3 et non le domaine contenant 1

document.location fait référence à "un objet Location, qui contient des informations sur l'URL du document" ; on peut supposer que l'objet actuel le document, c'est-à-dire l'iframe actuellement ouvert. Lorsque window.location === window.parent.location alors l'élément de l'iframe href est le mismo en tant qu'élément du parent contenant href .

Answer 2

Je viens de découvrir une solution de contournement pour ce problème qui est si simple, et pourtant je n'ai trouvé aucune discussion nulle part qui le mentionne. Elle nécessite le contrôle du cadre parent.

Dans votre iFrame, disons que vous voulez cette iframe : src="http://www.example.com/mypage.php"

Au lieu d'utiliser du HTML pour spécifier l'iframe, utilisez un javascript pour construire le HTML de votre iframe, récupérez l'url parent par le biais du javascript "au moment de la construction", et envoyez-la comme paramètre url GET dans la chaîne de requête de votre cible src, comme suit :

<script type="text/javascript">
  url = parent.document.URL;
  document.write('<iframe src="http://example.com/mydata/page.php?url=' + url + '"></iframe>');
</script>

Ensuite, trouvez une fonction javascript d'analyse d'url qui analyse la chaîne d'url pour obtenir la variable url que vous recherchez, dans ce cas, c'est "url".

J'ai trouvé un excellent analyseur de chaîne url ici : http://www.netlobo.com/url_query_string_javascript.html

Answer 3

Si votre iframe provient d'un autre domaine, (cross domain), vous devrez simplement utiliser ceci :

var currentUrl = document.referrer;

et - ici vous avez l'url principale !

Answer 4

Vous avez raison. Les sous-domaines sont toujours considérés comme des domaines distincts lorsqu'ils utilisent des iframes. Il est possible de transmettre des messages en utilisant postMessage(...) mais d'autres API JS sont intentionnellement rendues inaccessibles.

Il est également toujours possible d'obtenir l'URL en fonction du contexte. Voir les autres réponses pour plus de détails.

Answer 5

Pour les pages situées sur le même domaine et sur un sous-domaine différent, vous pouvez définir l'attribut document.domain via javascript.

Le cadre parent et l'iframe doivent tous deux définir leur document.domain sur un élément qui leur est commun.

c'est-à-dire www.foo.mydomain.com y api.foo.mydomain.com pourraient chacun utiliser soit foo.mydomain.com ou simplement mydomain.com et être compatibles (non, vous ne pouvez pas les régler tous les deux sur com pour des raisons de sécurité...)

Notez également que document.domain est une rue à sens unique. Considérez l'exécution des trois déclarations suivantes dans l'ordre :

// assume we're starting at www.foo.mydomain.com
document.domain = "foo.mydomain.com" // works
document.domain = "mydomain.com" // works
document.domain = "foo.mydomain.com" // throws a security exception

Les navigateurs modernes peuvent également utiliser window.postMessage pour communiquer entre les origines, mais cela ne fonctionnera pas dans IE6. https://developer.mozilla.org/en/DOM/window.postMessage