在 <iframe> 的 JavaScript 中,我需要在父窗口中调用一个函数。两个窗口都来自同一个域。
使用window.parent.myFunction();安全吗?
【问题讨论】:
标签: javascript html
是的,您可以使用同一域中的window.parent。
WhatWG specification chapter 6: Loading Web pages 说:
iframe.parent 存在iframe.parent 是 iframe 的父节点的 DOM 的代理我试图通过阅读规范向您展示如何得出这个结论,同时牢记:从iframe 中访问parent 的特征是什么?
让我们开始吧。很长的一段文字。
parent
WhatWG#dom-parent 说window.parent:
浏览上下文中
Document的Window对象的父IDL 属性b 必须返回父浏览上下文 的WindowProxy对象,如果有一个(即如果 b 是子浏览上下文),或浏览上下文 b 本身的WindowProxy对象,否则(即如果它是顶部级浏览上下文或分离的嵌套浏览上下文)。
parent 是一个用于访问类似于父窗口的 DOM 的属性。然而:
WindowProxy 有什么作用?让我们继续阅读。
浏览上下文是向用户呈现Document 对象的环境。
Web 浏览器中的选项卡或窗口通常包含浏览上下文,就像框架集中的 iframe 或多个框架一样。每个浏览上下文都有一个对应的 WindowProxy 对象。
窗口代理是一个代理window 对象并强制执行例如安全约束的对象。对于window 对象,可以有多个代理(例如,来自两个不同域的两个iframes 访问同一个父级)。
WindowProxy 对象允许脚本就像每个浏览上下文都有一个 Window 对象一样,同时仍为每个 Document 保留单独的 Window 对象。
我们快到了。继续阅读。
如果以下条件之一为真,则允许浏览上下文 A 导航第二个浏览上下文 B:
- 要么 A 的活动文档的来源与 B 的活动文档的来源相同,要么
- 浏览上下文A是一个嵌套浏览上下文,有一个顶层浏览上下文,它的顶层浏览上下文是B,或者
- 浏览上下文 B 是辅助浏览上下文,允许 A 导航 B 的开启者浏览上下文,或
- 浏览上下文 B 不是顶级浏览上下文,但存在 B 的祖先浏览上下文,其活动文档与 A 的活动文档具有相同的来源(实际上可能是 A 本身)。
如果两者都来自同一个域,iframe 能否从其parent 访问函数?让我们推断。
parent 不是父对象的window 对象,而是WindowProxy。iframe 的浏览上下文可以访问其父级,因为它们都具有相同的来源(请参阅上面的第一个安全条件)。您会看到:如果您仔细阅读规范,您可以找到浏览器应该如何运行的答案。阅读规范是一项后天的技能。这需要耐心和准确。
然而:这个世界并不那么美好。有些浏览器没有按照它们应该的那样实现规范。 告诫购买者。
【讨论】: