Acessar URL pai de um iFrame: restrições e soluções alternativas

Acessar o URL do quadro pai de um iFrame pode ser um desafio, especialmente quando o iFrame está localizado em um subdomínio diferente. Isso se deve a restrições de segurança impostas por medidas de prevenção de cross-site scripting (XSS).

Ao acessar o iFrame do mesmo domínio e subdomínio do quadro pai, o acesso à localização do pai deve ser simples usando expressões como pai .document.location ou parent.window.location. No entanto, conforme destacado pelo usuário, esta abordagem falha quando o iFrame está em um subdomínio diferente.

Para ilustrar melhor este ponto, considere o exemplo fornecido onde pageA.html está hospedado em http://www.mysite .com/ e pageB.html (o iFrame) estão hospedados em http://qa-www.mysite.com/. A tentativa de recuperar o URL do pai de pageB.html acionará um erro de acesso negado. Isso confirma que os subdomínios também estão sujeitos a restrições de script entre sites.

Embora o acesso direto ao URL do pai seja proibido nessas circunstâncias, há uma solução alternativa que pode ser utilizada. Para obter a URL do quadro pai, o seguinte código JavaScript pode ser empregado:

var url = (window.location != window.parent.location)
            ? document.referrer
            : document.location.href;

Nota:

• window.parent.location evita o erro de segurança causado pelo acesso à propriedade href (window.parent. location.href).
• document.referrer refere-se ao URI da página vinculada ao iFrame. Isso pode não retornar o documento que o contém se a localização do iFrame tiver sido determinada por outra fonte.
• document.location refere-se à URL do documento, que neste caso é o iFrame. Quando window.location e window.parent.location são idênticos, o href do iFrame é igual ao href do pai.