首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 HTML / CSS

关于iframe跨域使用postMessage的实现

Posted in HTML / CSS onOctober 29, 2019

当我们要在域名A.com下使用一个域名B.com提供的页面服务,直觉想到的实现方式就是使用iframe。但是iframe直接的交互存在**跨域问题**,目前看来解决方式有两种。一是使用nginx代理转发,在域名A的nginx上配置指定的转发规则,直接指向域名B,直接干掉了跨域;另一种方式是使用postMessage方法。此处针对第二种方式,看下使用方式和可能的问题。

postMessage是什么

此处引用MDN关于postMessage的详细说明。简而言之就是:postMessage是挂载在window下的一个方法,用于不同域名下的两个页面的信息交互,父子页面通过postMessage()发送消息,再通过监听message事件接收信息。

postMessage使用

假设有一个父页面indexPage.html, 子页面iframePage.html

一、父页面向子页面发送消息

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息,否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage({msg: 'MessageFromIndexPage'},'\*');

}

iFrame.contentWindow.postMessage('MessageFromIndexPage','b.com')

方法的第一个参数是发送的消息,无格式要求;第二个参数是域名限制,当不限制域名时填写* ,第三个可选参数transfer一般不填,这个参数有严重的浏览器兼容问题。

二、子页面接收父页面发送的消息

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

console.log( '这里是接收到来自父页面的消息,消息内容在event.data属性中', event )

}, false)

三、子页面给父页面传递消息

window.parent.postMessage({name: '张三'}, '\*');

方法的第一个参数是发送的消息,目前可无格式要求, 在 Gecko 6.0 (Firefox 6.0 / Thunderbird 6.0 / SeaMonkey 2.3)之前, 参数 message 必须是一个字符串;第二个参数是域名限制,当不限制域名时填写’*‘

四、父页面接收子页面的消息

//监听message事件

window.addEventListener("message", function receiveMessageFromIframePage (event) {

console.log('这里是子页面发送来的消息,消息内容在event.data属性中', event)

}, false);

postMessage的安全问题

使用postMessage交互,默认就是允许跨域行为,一旦允许跨域,就会有一些安全问题,针对postMessage主要有两种攻击方式。一是伪造数据发送方(父页面),易造成数据接收方(子页面)受到XSS攻击或其他安全问题;二是伪造数据接收方,类似jsonp劫持。

一、伪造数据发送方

攻击方式:伪造一个父页面,引导使用者触发功能,发送消息给子页面,如果子页面将父页面发送的消息直接插入当前文档流,就是引发XSS攻击,或者子页面使用父页面传递的消息进行其他操作,例如写入数据,造成安全问题。

防范方式:子页面iframe对接收到的message信息做域名限制

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

origin = event.origin || event.originalEvent.origin

if(origin == 'https://A.com'){

console.log( '这里是接收到来自父页面的消息,消息内容在event.data属性中', event )

}

}, false)

二、伪造数据接收方

攻击方式:伪造一个子页面,在父页面中引入子页面,在伪造的页面中接收父页面发送的消息,此时可以获取用户的敏感消息。

防范方式:父页面对发送消息的页面做域名限制

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息,否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage('MessageFromIndexPage','https://B.com');

}

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

关于iframe跨域使用postMessage的实现

- Author -

牛什么莹

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

HTML / CSS 相关文章推荐
在css3中background-clip属性与background-origin属性的用法介绍
Nov 13 HTML / CSS
CSS3 Pie工具推荐--让IE6-8支持一些优秀的CSS3特性
Sep 02 HTML / CSS
几个CSS3的flex弹性盒模型布局的简单例子演示
May 12 HTML / CSS
利用纯CSS3实现tab选项卡切换示例代码
Sep 21 HTML / CSS
CSS3实现可翻转的hover效果
May 23 HTML / CSS
Android本地应用打开方法——通过html5写连接
Mar 11 HTML / CSS
微信浏览器左上角返回按钮拦截功能
Nov 21 HTML / CSS
详解canvas drawImage()方法绘制图片不显示的问题
Oct 08 HTML / CSS
HTML5 拖拽批量上传文件的示例代码
Mar 28 HTML / CSS
HTML5之SVG 2D入门12—SVG DOM及DOM操作介绍
Jan 30 HTML / CSS
HTML5新增的Css选择器、伪类介绍
Aug 07 HTML / CSS
如何利用 CSS Overview 面板重构优化你的网站
Oct 24 HTML / CSS
使用canvas生成含有微信头像的邀请海报没有微信头像问题
Oct 29 #HTML / CSS
Html5与App的通讯方式详解
Oct 24 #HTML / CSS
html+js 实现markdown编辑器效果
Oct 23 #HTML / CSS
高清屏下canvas重置尺寸引发的问题的解决
Oct 14 #HTML / CSS
HTML table 表格边框的实现思路
Oct 12 #HTML / CSS
Html5自定义字体解决方法
Oct 09 #HTML / CSS
webView加载html图片遇到的问题解决
Oct 08 #HTML / CSS
Spring Security(2) V Rising(1) Navicat(1) Android Gradle(1) procedure(1) 记事本(1) maven(2) 内置函数(1) 自定义函数(1) Tablespace(1)
You might like
espresso double下 咖啡粉超细时 饼压力对咖啡的影响
2021/03/03 冲泡冲煮
php session和cookie使用说明
2010/04/07 PHP
php 中英文语言转换类
2011/09/07 PHP
php实现用于验证所有类型的信用卡类
2015/03/24 PHP
Laravel 微信小程序后端实现用户登录的示例代码
2019/11/26 PHP
jquery 表单取值常用代码
2009/12/22 Javascript
JavaScript中的私有/静态属性介绍
2012/07/26 Javascript
基于jquery的时间段实现代码
2012/08/02 Javascript
JS批量修改PS中图层名称的方法
2014/01/26 Javascript
js简单实现点击左右运动的方法
2015/04/10 Javascript
node.js 使用ejs模板引擎时后缀换成.html
2015/04/22 Javascript
以WordPress为例讲解jQuery美化页面Title的方法
2016/05/23 Javascript
跨域请求的完美解决方法(JSONP, CORS)
2016/06/12 Javascript
vue router2.0二级路由的简单使用
2017/07/05 Javascript
详解Vue路由钩子及应用场景(小结)
2017/11/07 Javascript
通过vue-router懒加载解决首次加载时资源过多导致的速度缓慢问题
2018/04/08 Javascript
深入浅析AngularJs模版与v-bind
2018/07/06 Javascript
js+html实现周岁年龄计算器
2019/06/25 Javascript
vue 实现 rem 布局或vw 布局的方法
2019/11/13 Javascript
为react组件库添加typescript类型提示的方法
2020/06/15 Javascript
vue-cli3 引入 font-awesome的操作
2020/08/11 Javascript
python中的字典操作及字典函数
2018/01/03 Python
浅谈Django学习migrate和makemigrations的差别
2018/01/18 Python
教你用Python创建微信聊天机器人
2020/03/31 Python
python用户评论标签匹配的解决方法
2018/05/31 Python
Python通过for循环理解迭代器和生成器实例详解
2019/02/16 Python
基于pytorch的保存和加载模型参数的方法
2019/08/17 Python
Python 多线程,threading模块,创建子线程的两种方式示例
2019/09/29 Python
python画图时设置分辨率和画布大小的实现(plt.figure())
2021/01/08 Python
实例教程 一款纯css3实现的数字统计游戏
2014/11/10 HTML / CSS
澳大利亚最受欢迎的女士度假服装:Kabana Shop
2020/10/10 全球购物
怎么处理XML的中文问题
2015/03/26 面试题
关于递归的一道.NET面试题
2013/05/12 面试题
奥巴马英文演讲稿
2014/05/15 职场文书
2015公务员试用期工作总结
2014/12/12 职场文书
比赛主持人开场白
2015/05/29 职场文书