window.postMessage
|
window.postMessage()方法可以安全地实现跨源通信。通常,对于两个不同页面的脚本,只有当执行它们的页面位于具有相同的协议(通常为https),端口号(443为https的默认值),以及主机 (两个页面的模数 Document.domain 设置为相同的值) 时,这两个脚本才能相互通信。window.postMessage()方法提供了一种受控机制来规避此限制,只要正确的使用,这种方法就很安全。 window.postMessage()方法被调用时,会在所有页面脚本执行完毕之后(e.g.,在该方法之后设置的事件、之前设置的timeout 事件,etc.)向目标窗口派发一个 MessageEvent 消息。 该MessageEvent 消息有四个属性需要注意: message 属性表示该message 的类型;data 属性为window.postMessage 的第一个参数;origin 属性表示调用window.postMessage()方法时调用页面的当前状态;source 属性记录调用window.postMessage()方法的窗口信息。 语法otherWindow.postMessage(message,targetOrigin,[transfer]);
The dispatched event执行如下代码,其他window可以监听派遣的message: window.addEventListener("message",receiveMessage,false);
function receiveMessage(event)
{
<code> // For Chrome,the origin property is in the event.originalEvent
// object.
var origin = event.origin || event.originalEvent.origin; </code>
if (origin !== "http://example.org:8080")
return;
// ...
}
message 的属性有:
安全问题如果您不希望从其他网站接收message,请不要为message事件添加任何事件侦听器。 这是一个完全万无一失的方式来避免安全问题。 如果您确实希望从其他网站接收message,请始终使用origin和source属性验证发件人的身份。 任何窗口(包括例如http://evil.example.com)都可以向任何其他窗口发送消息,并且您不能保证未知发件人不会发送恶意消息。 但是,验证身份后,您仍然应该始终验证接收到的消息的语法。 否则,您信任只发送受信任邮件的网站中的安全漏洞可能会在您的网站中打开跨网站脚本漏洞。 当您使用postMessage将数据发送到其他窗口时,始终指定精确的目标origin,而不是*。 恶意网站可以在您不知情的情况下更改窗口的位置,因此它可以拦截使用postMessage发送的数据。 示例/* * A窗口的域名是<http://example.com:8080>,以下是A窗口的script标签下的代码: */
var popup = window.open(...popup details...);
// 如果弹出框没有被阻止且加载完成
// 这行语句没有发送信息出去,即使假设当前页面没有改变location(因为targetOrigin设置不对)
popup.postMessage("The user is 'bob' and the password is 'secret'","https://secure.example.net");
// 假设当前页面没有改变location,这条语句会成功添加message到发送队列中去(targetOrigin设置对了)
popup.postMessage("hello there!","http://example.org");
function receiveMessage(event) {
// 我们能相信信息的发送者吗? (也许这个发送者和我们最初打开的不是同一个页面).
if (event.origin !== "http://example.org")
return;
// event.source 是我们通过window.open打开的弹出页面 popup
// event.data 是 popup发送给当前页面的消息 "hi there yourself! the secret response is: rheeeeet!"
}
window.addEventListener("message",false);
/* * 弹出页 popup 域名是<http://example.org>,以下是script标签中的代码: */
//当A页面postMessage被调用后,这个function被addEventListenner调用
function receiveMessage(event)
{
// 我们能信任信息来源吗?
if (event.origin !== "http://example.com:8080")
return;
// event.source 就当前弹出页的来源页面
// event.data 是 "hello there!"
// 假设你已经验证了所受到信息的origin (任何时候你都应该这样做),一个很方便的方式就是把enent.source
// 作为回信的对象,并且把event.origin作为targetOrigin
event.source.postMessage("hi there yourself! the secret response " +
"is: rheeeeet!",event.origin);
}
window.addEventListener("message",false);
注意任何窗口可以在任何其他窗口访问此方法,在任何时间,无论文档在窗口中的位置,向其发送消息。 因此,用于接收消息的任何事件监听器必须首先使用origin和source属性来检查消息的发送者的身份。 这不能低估:无法检查origin和source属性会导致跨站点脚本攻击。 与任何异步调度的脚本(超时,用户生成的事件)一样,postMessage的调用者不可能检测到侦听由postMessage发送的事件的事件处理程序何时抛出异常。 分派事件的origin属性的值不受调用窗口中document.domain的当前值的影响。 仅对于IDN主机名,origin属性的值不是始终为Unicode或punycode; 在使用此属性时,如果您期望来自IDN网站的消息,则最大程度地兼容性检查IDN和punycode值。 这个值最终将始终是IDN,但现在你应该同时处理IDN和punycode表单。 当发送窗口包含javascript:或data:URL时,origin属性的值是加载URL的脚本的 在扩展中使用window.postMessage
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- Windows上的Node.js和文件系统 – EBUSY错误
- Windows版本的GDB前端DDD
- windows-server-2012 – 谷歌云打印失败 – 查找日志?
- Windows DC更换选项2000至2016
- windows-server-2003 – 我忘记了W2K3管理员密码.是否可以重
- 在Windows上正常终止命令行应用程序
- windows-phone-7 – WIndows Phone 7.1 SDK与Windows Phone
- windows-server-2012 – 计划任务未在Windows Server 2012上
- windows-7 – 使用GlusterFS和Windows避免SPOFS
- .net – 确定窗口当前是否正在播放声音