SK
document.referrer должен так же предоставлять домен родителя
Size: a a a
2020 January 17
S
вам нужно проверить просто, совпадает родитель и ваш домен или нет, можно сделать regxp, если не совпадает то шлем запрос
в общем
document.referrerдает всю ссылку родителя. а вы просто проверьте если не верите. запрос будет проходить если нет проблем с корсом. а раз домены у нас разные, то мой iframe через window.parent никак не может достучаться до родителя. там ведь не только имформация о урл. там ВСЕ, а это критическая угроза
SK
в общем
document.referrerдает всю ссылку родителя. а вы просто проверьте если не верите. запрос будет проходить если нет проблем с корсом. а раз домены у нас разные, то мой iframe через window.parent никак не может достучаться до родителя. там ведь не только имформация о урл. там ВСЕ, а это критическая угроза
она должна проходить, если не заблакирована родительским сайтом, читайте api https://developer.mozilla.org/ru/docs/Web/API/Window/parent
SK
но вам без разницы главное получить url, и просто проверить его регуляркой, совпадает с вашим доменом или нет
Ð
сайт родитель где iframe есть не под моим контролем, спасибо за ссылку, но коммуникация между ними нереальна.
если отправить загаловок с window.parent.location с iframe сайта то ожидаемо дает ошибку
Blocked a frame with origin "" from accessing a cross-origin frame.
если отправить загаловок с window.parent.location с iframe сайта то ожидаемо дает ошибку
Blocked a frame with origin "" from accessing a cross-origin frame.
а есть контроль над сервером который запрашивает этот ифрейм через xhr?
S
она должна проходить, если не заблакирована родительским сайтом, читайте api https://developer.mozilla.org/ru/docs/Web/API/Window/parent
ну так я уже много раз писал что родитель на другом домене, и насколько я знаю если прямо не указать открытость, то по умолчанию браузер не допустит другим дочерним iframe-ам запрашивать родителю .
это работает когда корс совпадает. т.е. у родителя и у iframe-а один и тот же хост, ориджин, порт и т.д.
это работает когда корс совпадает. т.е. у родителя и у iframe-а один и тот же хост, ориджин, порт и т.д.
S
Ð
а есть контроль над сервером который запрашивает этот ифрейм через xhr?
да есть. проблема решена уже. спасибо
Ð
а ок
SK
ну так я уже много раз писал что родитель на другом домене, и насколько я знаю если прямо не указать открытость, то по умолчанию браузер не допустит другим дочерним iframe-ам запрашивать родителю .
это работает когда корс совпадает. т.е. у родителя и у iframe-а один и тот же хост, ориджин, порт и т.д.
это работает когда корс совпадает. т.е. у родителя и у iframe-а один и тот же хост, ориджин, порт и т.д.
нет, наоборот, если заранее не указать закрытость - sandbox="...", то все работать должно, хотя может браузеры поменяли политику но раньше работало так. В вашем случае, нет разницы, будет это window.parent, window.top, или document.referrer, вам главное получить домен родителя.
S
нет, наоборот, если заранее не указать закрытость - sandbox="...", то все работать должно, хотя может браузеры поменяли политику но раньше работало так. В вашем случае, нет разницы, будет это window.parent, window.top, или document.referrer, вам главное получить домен родителя.
вот уже нет. сейчас для меня принципиально показать вам что все работает точно наоборот. это же как корс с сервером клиентом. браузер по умолчанию заблокирует запрос до тех пор пока сервер сам не дает доступ.
спасибо, но как будет время сделаю пример для вас
спасибо, но как будет время сделаю пример для вас
SK
вы можете мне показыватьч то угодно, но https://html.spec.whatwg.org/multipage/browsers.html#dom-parent, вот тут бы это указывалось, как и в спецификациях iframe, но нет, там говорится, что по умолчанию должно быть как указано выше. НО! Любой браузер, может не следовать спецификации и изменить правила безопасности в сторону ужесточения. если у iframe, появляется атрибут sandbox, к нему применяются специальные правила.
S
вы можете мне показыватьч то угодно, но https://html.spec.whatwg.org/multipage/browsers.html#dom-parent, вот тут бы это указывалось, как и в спецификациях iframe, но нет, там говорится, что по умолчанию должно быть как указано выше. НО! Любой браузер, может не следовать спецификации и изменить правила безопасности в сторону ужесточения. если у iframe, появляется атрибут sandbox, к нему применяются специальные правила.
читал но не вижу где именно говорится об откритоси. в 7.1.3 Security так и говорится об контекстах безопасности
1
Я до сих пор не могу попасть в инспект))) и тоннель пробросил и все запустил, а оно не открывается в хроме)) я уже хз, мб браундер винды гдет блочит, что наврятли, либо еще что, хз) я уже перековырял много всякой дичи)) уже подумываю винду совсем сменить на убунту)) прост не хочется привыкать к чему-то другому(
а я понять не могу что такое туннели
I
если я в index.js делаю `require('./app/index.js');`то пути прописанные в app/index.js будут относительно app/index.js или ./index.js?
👨M
а я понять не могу что такое туннели
А что такое ssh понимаешь?
¿
а я понять не могу что такое туннели
Тут уже писали, что это просто название для зашифрованного соединения
1
А что такое ssh понимаешь?
нет
👨M
нет
А почитать пробовал?
Ð
это очень полезные знания в любом случае, изучай :)
Ð
это целая магия