我必须在我的页面上的 iframe 中包含一个外部白标网站。外部网站上有许多页面,它们的高度差异很大。
我需要调整 iframe 的高度以适应这种情况。
我可以获取加载到 iframe 中的第一个页面的高度(使用 PHP),但无法获取后续页面高度,因为无法知道 iframe 中的 url/位置更改为什么。
由于这是 iframe 中的外部 URL,因此通常的安全限制适用,因此所有解决方案都必须来自父框架。解决方案必须至少在 FF 和 IE 上可行。
我能想到的唯一想法是测试滚动条在 iframe 上是否可见,但在这种情况下这似乎是不可能的。
如果有人能证明我错了,或者有任何其他 javascript/ajax/php 跨浏览器解决方案,我很乐意听到。
【问题讨论】:
标签: javascript security iframe
由于浏览器的安全模型,不可能这样做。如果可能,那将是一个安全问题,必须加以修复。
虽然在嵌入页面时让嵌入站点知道第三方网页的高度似乎无害,但这可能会将浏览器用户想要保密的信息泄露给嵌入站点。例如,http://www.facebook.com/ 根据您是否登录而呈现不同,因此如果我的网站可以计算出<iframe src="http://www.facebook.com/"> 的高度,那么我可以确定您是否是 facebook 用户,而您可能不会不想让我知道。
信息泄露将类似于臭名昭著的CSS History Leak,因为它会通过“链接”到第三方网站(在这种情况下使用 iframe 而不是链接)来揭示用户与第三方网站的关系信息)。浏览器供应商必须堵住 CSS 历史漏洞,所以我怀疑如果您可以计算出在任何浏览器的 iframe 中呈现的第三方网站的高度,供应商也必须修复它。
泄露的信息是任何可以从页面高度推断出的信息,当用户使用他们的 cookie 呈现时(即使在不同域页面内的 iframe 中呈现,浏览器也会发送这些信息)。具体风险完全取决于被“攻击”的嵌入式站点的性质。例如。我可以通过获取https://stackoverflow.com/reputation 的高度来了解访问我网站的人有多少stackoverflow 活动,这对于不同的用户来说是不同的。
【讨论】: