编程 HTML / CSS

关于iframe跨域使用postMessage的实现

Posted in HTML / CSS onOctober 29, 2019

当我们要在域名A.com下使用一个域名B.com提供的页面服务，直觉想到的实现方式就是使用iframe。但是iframe直接的交互存在**跨域问题**，目前看来解决方式有两种。一是使用nginx代理转发，在域名A的nginx上配置指定的转发规则，直接指向域名B，直接干掉了跨域；另一种方式是使用postMessage方法。此处针对第二种方式，看下使用方式和可能的问题。

postMessage是什么

此处引用MDN关于postMessage的详细说明。简而言之就是：postMessage是挂载在window下的一个方法，用于不同域名下的两个页面的信息交互，父子页面通过postMessage（）发送消息，再通过监听message事件接收信息。

postMessage使用

假设有一个父页面indexPage.html, 子页面iframePage.html

一、父页面向子页面发送消息

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息，否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage({msg: 'MessageFromIndexPage'},'\*');

}

iFrame.contentWindow.postMessage('MessageFromIndexPage','b.com')

方法的第一个参数是发送的消息，无格式要求；第二个参数是域名限制，当不限制域名时填写* ，第三个可选参数transfer一般不填，这个参数有严重的浏览器兼容问题。

二、子页面接收父页面发送的消息

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

console.log( '这里是接收到来自父页面的消息，消息内容在event.data属性中', event )

}, false)

三、子页面给父页面传递消息

window.parent.postMessage({name: '张三'}, '\*');

方法的第一个参数是发送的消息，目前可无格式要求，在 Gecko 6.0 (Firefox 6.0 / Thunderbird 6.0 / SeaMonkey 2.3)之前，参数 message 必须是一个字符串；第二个参数是域名限制，当不限制域名时填写’*‘

四、父页面接收子页面的消息

//监听message事件

window.addEventListener("message", function receiveMessageFromIframePage (event) {

console.log('这里是子页面发送来的消息，消息内容在event.data属性中', event)

}, false);

postMessage的安全问题

使用postMessage交互，默认就是允许跨域行为，一旦允许跨域，就会有一些安全问题，针对postMessage主要有两种攻击方式。一是伪造数据发送方（父页面），易造成数据接收方（子页面）受到XSS攻击或其他安全问题；二是伪造数据接收方，类似jsonp劫持。

一、伪造数据发送方

攻击方式：伪造一个父页面，引导使用者触发功能，发送消息给子页面，如果子页面将父页面发送的消息直接插入当前文档流，就是引发XSS攻击，或者子页面使用父页面传递的消息进行其他操作，例如写入数据，造成安全问题。

防范方式：子页面iframe对接收到的message信息做域名限制

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

origin = event.origin || event.originalEvent.origin

if(origin == 'https://A.com'){

console.log( '这里是接收到来自父页面的消息，消息内容在event.data属性中', event )

}

}, false)

二、伪造数据接收方

攻击方式：伪造一个子页面，在父页面中引入子页面，在伪造的页面中接收父页面发送的消息，此时可以获取用户的敏感消息。

防范方式：父页面对发送消息的页面做域名限制

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息，否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage('MessageFromIndexPage','https://B.com');

}

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持三水点靠木。

关于iframe跨域使用postMessage的实现

- Author -

牛什么莹

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

HTML / CSS 相关文章推荐

详解CSS3伸缩布局盒模型Flex布局

Aug 20 HTML / CSS

结合CSS3的新特性来总结垂直居中的实现方法

May 30 HTML / CSS

详解CSS透明opacity和IE各版本透明度滤镜filter的最准确用法

Dec 20 HTML / CSS

通过一张图教会你CSS3倒影的实现

Sep 26 HTML / CSS

CSS3新增布局之: flex详解

Jun 18 HTML / CSS

Html5 audio标签样式的修改

Jan 28 HTML / CSS

HTML5实现多张图片上传功能

Mar 11 HTML / CSS

Html5 Geolocation获取地理位置信息实例

Dec 09 HTML / CSS

HTML5地理定位_动力节点Java学院整理

Jul 12 HTML / CSS

详解Html5页面实现下载文件（apk、txt等）的三种方式

Oct 22 HTML / CSS

详解HTML5中CSS外观属性

Sep 10 HTML / CSS

html5使用window.postMessage进行跨域实现数据交互的一次实战

Feb 24 HTML / CSS

使用canvas生成含有微信头像的邀请海报没有微信头像问题

Oct 29 #HTML / CSS

Html5与App的通讯方式详解

Oct 24 #HTML / CSS

html+js 实现markdown编辑器效果

Oct 23 #HTML / CSS

高清屏下canvas重置尺寸引发的问题的解决

Oct 14 #HTML / CSS

HTML table 表格边框的实现思路

Oct 12 #HTML / CSS

Html5自定义字体解决方法

Oct 09 #HTML / CSS

webView加载html图片遇到的问题解决

Oct 08 #HTML / CSS

You might like

第五节--克隆

2006/11/16 PHP

mysql建立外键

2006/11/25 PHP

PHP4与PHP5的时间格式问题

2008/02/17 PHP

jQuery入门知识简介

2010/03/04 Javascript

简短几句jquery代码的实现一个图片向上滚动切换

2011/09/02 Javascript

Jquery写一个鼠标拖动效果实现原理与代码

2012/12/24 Javascript

jquery在IE、FF浏览器的差别详细探讨

2013/04/28 Javascript

js模仿php中strtotime()与date()函数实现方法

2015/08/11 Javascript

jQuery插件imgPreviewQs实现上传图片预览

2016/01/15 Javascript

简单的渐变轮播插件

2017/01/12 Javascript

微信小程序实现消息框弹出动画

2020/04/18 Javascript

Python中分数的相关使用教程

2015/03/30 Python

python实现的jpg格式图片修复代码

2015/04/21 Python

Python中转换角度为弧度的radians()方法

2015/05/18 Python

Python的Flask框架中使用Flask-Migrate扩展迁移数据库的教程

2016/06/14 Python

总结python实现父类调用两种方法的不同

2017/01/15 Python

Python在不同目录下导入模块的实现方法

2017/10/27 Python

利用python3随机生成中文字符的实现方法

2017/11/24 Python

TensorFlow中权重的随机初始化的方法

2018/02/11 Python

详解Python循环作用域与闭包

2019/03/21 Python

python3读取图片并灰度化图片的四种方法(OpenCV、PIL.Image、TensorFlow方法)总结

2019/07/04 Python

Mac中PyCharm配置Anaconda环境的方法

2020/03/04 Python

Python提取视频中图片的示例（按帧、按秒）

2020/10/22 Python

葡萄牙航空官方网站：TAP Air Portugal

2019/10/31 全球购物

工作检讨书怎么写

2014/10/10 职场文书

交警作风整顿剖析材料

2014/10/11 职场文书

医院保洁员岗位职责

2015/02/13 职场文书

体检通知范文

2015/04/21 职场文书

2015年超市员工工作总结

2015/05/04 职场文书

新郎结婚感言

2015/07/31 职场文书

2016年艾滋病宣传活动总结

2016/04/01 职场文书

七年级作文（600字3篇）

2019/09/24 职场文书

Linux安装Nginx步骤详解

2021/03/31 Servers

Windows10下安装MySQL8

2021/04/06 MySQL

利用Python+OpenCV三步去除水印

2021/05/28 Python

CSS浮动引起的高度塌陷问题

2022/08/05 HTML / CSS