<html>
<body>
<iframe src="http://www.samplicio.us/router/default.aspx?SID=0db760c8-4858-4773-9e67-ca7e2cdb3cba&PID=7525e17a-a799-416c-bf84-4ea2e75ac332&AGE=24&GENDER=1&HISPANIC=1&ETHNICITY=1&STANDARD_HHI_US=3" />
</body>
</html>

虽然同源策略确实会阻止从跨域框架访问Window属性，但 location 属性是一个特殊的例外。

来自 MDN 文章的跨源脚本 API 访问部分，了解同源策略。

JavaScript API，如iframe.contentWindow、window.parent、window.open和window.opener允许文档直接相互引用。当两个文档的源不同时，这些引用提供对Window和Location对象的非常有限的访问，如下两节所述。

跨源窗口：

MDN 列出了以下方法和属性或Window对象允许跨源，符合规范。

方法：

• window.blur
• window.close
• window.focus
• window.postMessage

属性：

• window.closed（只读）
• window.frames（只读）
• window.length（只读）
• window.location（读/写）
• window.opener（只读）
• window.parent（只读）
• window.self（只读）
• window.top（只读）
• window.window（只读）

跨源位置：

此外，根据规范，还允许Location对象的以下属性。

方法：

• location.replace

属性：

• URLUtils.href（只写）

总结：

正如您在上面看到的，window.location可以跨域进行读/写访问。在同源策略下，允许一个帧重新分配另一个帧的location属性。使用 sandbox 属性是在现代浏览器中阻止此类跨源框架访问的正确方法。

您可能还有兴趣阅读OWASP点击劫持防御备忘单页面，其中包含有关这种防止网站被框定的技术的信息，以及一些可以在旧版浏览器中使用的不太受影响的对策。