Javascript 更改window.location.anstororigins

是否有任何方法可以更改或阻止Chrome下iframed站点中

window.location.ancestorOrigins

的使用

出于安全原因，我不希望iframed页面能够检测到顶级url

在Firefox下，如果

指向另一个

，它就解决了这个问题。

---

但在Chrome下，它仍在检测主网站。

答案很简单：你不能改变它。

不。讨论从2016年开始就在进行

这就是谷歌广告资金资助Chrome开发时得到的结果

另外请注意，在chrome上，您可以通过defineProperty（）覆盖document.referer，但不能覆盖window.location.anceStorOriginates。他们真的很关心该财产，只是不足以尊重该财产上的内容安全策略”\_(ツ)_/“”

---

@seanonymous（新帐户，无法在此处回复评论）使用案例是，一些网站在URL中公开了他们不希望合作伙伴看到的信息。例如，CNN可能会利用谷歌或facebook来获取登录信息。他们可以与用户正在阅读CNN.com的公司进行良好的共享，以交换到其评论部分的授权流。但他们可能不适合共享用户希望向这些公司发表评论的文章。十年前，W3c通过CSP和引用控制头解决了这个问题。但谷歌在没有任何人评论的情况下实现了这一点，就像微软在IE4~6市场占据主导地位时所做的那样。

什么是“安全原因”来阻止你在网站上嵌入的内容被删除知道它被嵌入到哪里？我认为更改此数组的内容是一个安全问题，所以我很想知道您的意图。@Seanonymous这相当于提供一个带有您的本地IP、名称、地址的网站，因为您是访问该网站的人。嵌入一个网站，它知道您来自哪里？听起来很糟糕，这很糟糕，复杂完全忽略请求标题并有效跟踪用户历史记录

，但他们可能无法将用户希望评论的文章分享给这些公司。

我很困惑这与window.location.ancestorOrigins有什么关系-该属性不只是给iframe提供了祖先框架的起源吗？这是如何体现的所有具体的文章？@drmercer此连接的大多数实现都依赖于推荐人策略，这些策略可能更严格或更宽松，通过某些组合。网站可能会通过location.AncestorOriginance泄漏完整路径，而所有者甚至可能不知道，因为他们放宽了推荐人，以获取有关他们希望取消的其他内容的更多信息不过，你是对的，它应该只公开源代码（模式+域），不幸的是，现实世界更为复杂。