前端跨域之PostMessage详解

╰+哭是因爲堅強的太久メ 2024-04-18 10:46 26阅读 0赞

**window.postMessage() **方法可以安全地实现跨源通信。通常，对于两个不同页面的脚本，**只有当执行它们的页面位于具有相同的协议（通常为https），端口号（443为https的默认值），以及主机  (两个页面的模数 [`Document.domain`][Document.domain]设置为相同的值) 时，这两个脚本才能相互通信。**

otherWindow.postMessage(message, targetOrigin, \[transfer\]);

1.otherWindow

其他窗口的一个引用，比如iframe的contentWindow属性、执行window.open返回的窗口对象、或者是命名过或数值索引的window.frames。

2.message

将要发送到其他 window的数据。它将会被结构化克隆算法序列化。这意味着你可以不受什么限制的将数据对象安全的传送给目标窗口而无需自己序列化。

3.targetOrigin

通过窗口的origin属性来指定哪些窗口能接收到消息事件，其值可以是字符串”“（表示无限制）或者一个URI。在发送消息的时候，如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配targetOrigin提供的值，那么消息就不会被发送；只有三者完全匹配，消息才会被发送。这个机制用来控制消息可以发送到哪些窗口；例如，当用postMessage传送密码时，这个参数就显得尤为重要，必须保证它的值与这条包含密码的信息的预期接受者的orign属性完全一致，来防止密码被恶意的第三方截获。**如果你明确的知道消息应该发送到哪个窗口，那么请始终提供一个有确切值的targetOrigin，而不是不提供确切的目标将导致数据泄露到任何对数据感兴趣的恶意站点。**

4.transfer

是一串和message 同时传递的 Transferable 对象. 这些对象的所有权将被转移给消息的接收方，而发送一方将不再保有所有权。

看一下具体使用示例

<!DOCTYPE html>
    <html>
    <head>
      <meta charset="UTF-8">
      <title>父页面</title>
    </head>
    <body>
    <input name="ta" id="data" type="text" value="发送数据给子页面"/>
    <button onclick="send()" id="btn">post message to children</button>
    <div id="div" style="background: green;color: red;height: 30px"></div>
    <iframe src="http://172.22.6.12:8080/taskGuidePcT.html" name="postIframe"></iframe>
    
    <script>
      function send() {
        var data = document.getElementById('data').value
        var url = location.origin
        window.postIframe.postMessage(data,url); //发送数据
      }
    
      window.onmessage = function(e){
        e = e || event;
        document.getElementById("div").innerHTML = e.data;
      }
    </script>
    </body>
    </html>

<!DOCTYPE html>
    <html>
    <head>
      <meta charset="UTF-8">
      <title>子页面</title>
    </head>
    <body>
    <input name="ta" id="data" type="text" value="发送数据给父页面"/>
    <button onclick="send()" id="btn">post message to parent</button>
    <div id="div" style="height: 30px"></div>
    <script>
      var origin
      window.onmessage = function(e){
        origin = e.origin
        e = e || event;
        document.getElementById("div").innerHTML = e.data;
      }
    
      function send() {
        var data = document.getElementById('data').value
        window.parent.postMessage(data, origin)
      }
    </script>
    </body>
    </html>

**如果您不希望从其他网站接收message，请不要为message事件添加任何事件侦听器。 **这是一个完全万无一失的方式来避免安全问题。

如果您确实希望从其他网站接收message，请**始终使用origin和source属性验证发件人的身份**。 任何窗口（包括例如http://evil.example.com）都可以向任何其他窗口发送消息，并且您不能保证未知发件人不会发送恶意消息。 但是，验证身份后，您仍然应该**始终验证接收到的消息的语法**。 否则，您信任只发送受信任邮件的网站中的安全漏洞可能会在您的网站中打开跨网站脚本漏洞。

**当您使用postMessage将数据发送到其他窗口时，始终指定精确的目标origin，而不是\*。 **恶意网站可以在您不知情的情况下更改窗口的位置，因此它可以拦截使用postMessage发送的数据。

[Document.domain]: https://developer.mozilla.org/zh-CN/docs/Web/API/Document/domain