Javascript IFrame可以对top.Location对象(跨域)做什么?
关于window.top.Location对象的跨域策略中有一个非常特殊的边缘情况 假设我有一个IFrame A,在域www.bbb.com中,生活在域www.aaa.com中的一个页面中 IFrame内的页面可以:Javascript IFrame可以对top.Location对象(跨域)做什么?,javascript,security,iframe,cross-domain,window.location,Javascript,Security,Iframe,Cross Domain,Window.location,关于window.top.Location对象的跨域策略中有一个非常特殊的边缘情况 假设我有一个IFrame A,在域www.bbb.com中,生活在域www.aaa.com中的一个页面中 IFrame内的页面可以: 将window.top.location与window.location进行比较(以检测是否正在对其进行帧处理) 调用window.top.location.replace(window.location)重定向到self 调用window.top.location.replac
- 将window.top.location与window.location进行比较(以检测是否正在对其进行帧处理)
- 调用window.top.location.replace(window.location)重定向到self
- 调用window.top.location.replace(“任意字符串”)重定向到其他地方
- 对window.top.location.href发出警报、记录、写入或执行任何类型的输出
- 将它连接到任何其他变量中,或以任何有用的方式使用它
- 调用window.top.location.reload()
似乎浏览器不允许使用top.location对象,如果top位于另一个域中,,除了一些列在白名单中的内容, 是否在任何地方记录了此信息?
我能找到这些白名单上的东西是什么吗?
这是否在HTML标准中,并且在所有浏览器中都是平等实现的?或者这种实现是半随机的?安全规则与浏览器版本不同。一般来说,新版本有更严格的规则,但也有更精细的调整 我怀疑较旧的浏览器会允许您自由访问顶部框架的位置对象,稍新的浏览器会完全拒绝它,而当前的版本允许您比较位置对象,但不读取它们
您可能会找到关于此的文档,但它对于每个浏览器都是特定的,对于每个版本的浏览器都是特定的。据我所知,这方面没有真正的标准。每个浏览器供应商都试图尽可能地保护用户,同时仍然为网站建设者保留一些可用性。一般来说,你不能真的假设任何靠近边框的东西在所有浏览器中都能工作,或者在将来的版本中都能继续工作。这正是由指定的。如果你确实找到了答案,特别是“这是在任何地方记录的”,请发布它。在过去,我不得不使用IE跨域安全限制,而且似乎总是能学到关于你能做什么和不能做什么的知识。我从来没有看过任何文档。当然,但到目前为止我还没有发现任何东西(因此这里的问题是)你所说的“比较位置对象但不从中读取”是什么意思?嵌入页面如何在不知道顶部页面的url的情况下比较其位置?@Pacerier:因为location属性是一个对象,它包含页面的url作为
hrefhref