编程 HTML / CSS

关于iframe跨域使用postMessage的实现

Posted in HTML / CSS onOctober 29, 2019

当我们要在域名A.com下使用一个域名B.com提供的页面服务，直觉想到的实现方式就是使用iframe。但是iframe直接的交互存在**跨域问题**，目前看来解决方式有两种。一是使用nginx代理转发，在域名A的nginx上配置指定的转发规则，直接指向域名B，直接干掉了跨域；另一种方式是使用postMessage方法。此处针对第二种方式，看下使用方式和可能的问题。

postMessage是什么

此处引用MDN关于postMessage的详细说明。简而言之就是：postMessage是挂载在window下的一个方法，用于不同域名下的两个页面的信息交互，父子页面通过postMessage（）发送消息，再通过监听message事件接收信息。

postMessage使用

假设有一个父页面indexPage.html, 子页面iframePage.html

一、父页面向子页面发送消息

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息，否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage({msg: 'MessageFromIndexPage'},'\*');

}

iFrame.contentWindow.postMessage('MessageFromIndexPage','b.com')

方法的第一个参数是发送的消息，无格式要求；第二个参数是域名限制，当不限制域名时填写* ，第三个可选参数transfer一般不填，这个参数有严重的浏览器兼容问题。

二、子页面接收父页面发送的消息

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

console.log( '这里是接收到来自父页面的消息，消息内容在event.data属性中', event )

}, false)

三、子页面给父页面传递消息

window.parent.postMessage({name: '张三'}, '\*');

方法的第一个参数是发送的消息，目前可无格式要求，在 Gecko 6.0 (Firefox 6.0 / Thunderbird 6.0 / SeaMonkey 2.3)之前，参数 message 必须是一个字符串；第二个参数是域名限制，当不限制域名时填写’*‘

四、父页面接收子页面的消息

//监听message事件

window.addEventListener("message", function receiveMessageFromIframePage (event) {

console.log('这里是子页面发送来的消息，消息内容在event.data属性中', event)

}, false);

postMessage的安全问题

使用postMessage交互，默认就是允许跨域行为，一旦允许跨域，就会有一些安全问题，针对postMessage主要有两种攻击方式。一是伪造数据发送方（父页面），易造成数据接收方（子页面）受到XSS攻击或其他安全问题；二是伪造数据接收方，类似jsonp劫持。

一、伪造数据发送方

攻击方式：伪造一个父页面，引导使用者触发功能，发送消息给子页面，如果子页面将父页面发送的消息直接插入当前文档流，就是引发XSS攻击，或者子页面使用父页面传递的消息进行其他操作，例如写入数据，造成安全问题。

防范方式：子页面iframe对接收到的message信息做域名限制

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

origin = event.origin || event.originalEvent.origin

if(origin == 'https://A.com'){

console.log( '这里是接收到来自父页面的消息，消息内容在event.data属性中', event )

}

}, false)

二、伪造数据接收方

攻击方式：伪造一个子页面，在父页面中引入子页面，在伪造的页面中接收父页面发送的消息，此时可以获取用户的敏感消息。

防范方式：父页面对发送消息的页面做域名限制

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息，否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage('MessageFromIndexPage','https://B.com');

}

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持三水点靠木。

关于iframe跨域使用postMessage的实现

- Author -

牛什么莹

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

HTML / CSS 相关文章推荐

CSS3线性渐变简单实现以及该属性在浏览器中的不同

Dec 12 HTML / CSS

利用css3实现的简单的鼠标悬停按钮

Nov 04 HTML / CSS

使用CSS3制作一个简单的Chrome模拟器

Jul 15 HTML / CSS

HTML5实时语音通话聊天MP3压缩传输3KB每秒

Aug 28 HTML / CSS

HTML5之SVG 2D入门8—文档结构及相关元素总结

Jan 30 HTML / CSS

HTML5语音识别标签写法附图

Nov 18 HTML / CSS

HTML5制作3D爱心动画教程献给女友浪漫的礼物

Nov 05 HTML / CSS

调用HTML5的Canvas API绘制图形的快速入门指南

Jun 17 HTML / CSS

HTML5给汉字加拼音收起展开组件的实现代码

Apr 08 HTML / CSS

前端水印的简单实现代码示例

Dec 02 HTML / CSS

html+css 实现简易导航栏功能

Apr 07 HTML / CSS

巧用 -webkit-box-reflect 倒影实现各类动效(小结)

Apr 22 HTML / CSS

使用canvas生成含有微信头像的邀请海报没有微信头像问题

Oct 29 #HTML / CSS

Html5与App的通讯方式详解

Oct 24 #HTML / CSS

html+js 实现markdown编辑器效果

Oct 23 #HTML / CSS

高清屏下canvas重置尺寸引发的问题的解决

Oct 14 #HTML / CSS

HTML table 表格边框的实现思路

Oct 12 #HTML / CSS

Html5自定义字体解决方法

Oct 09 #HTML / CSS

webView加载html图片遇到的问题解决

Oct 08 #HTML / CSS

You might like

深入PHP内存相关的功能特性详解

2013/06/08 PHP

php实现简单洗牌算法

2013/06/18 PHP

慎用preg_replace危险的/e修饰符(一句话后门常用)

2013/06/19 PHP

php教程之phpize使用方法

2014/02/12 PHP

php实现zip文件解压操作

2015/11/03 PHP

JQuery为textarea添加maxlength属性的代码

2010/04/07 Javascript

深入理解javascript中return的作用

2013/12/30 Javascript

js在IE与firefox的差异集锦

2014/11/11 Javascript

jQuery实现鼠标跟随提示层效果代码(可显示文本,Div,Table,Html等)

2016/04/18 Javascript

jQuery progressbar通过Ajax请求实现后台进度实时功能

2016/10/11 Javascript

JavaScript对象引用与赋值实例详解

2017/03/15 Javascript

JS控件bootstrap suggest plugin使用方法详解

2017/03/25 Javascript

详解Vue.js组件可复用性的混合(mixin)方式和自定义指令

2017/09/06 Javascript

使用Vue自定义数字键盘组件(体验度极好)

2017/12/19 Javascript

JS实现图片轮播效果实例详解【可自动和手动】

2019/04/04 Javascript

用node.js写一个jenkins发版脚本

2019/05/21 Javascript

vue 集成 vis-network 实现网络拓扑图的方法

2019/08/07 Javascript

Python中尝试多线程编程的一个简明例子

2015/04/07 Python

教你用python3根据关键词爬取百度百科的内容

2016/08/18 Python

简单实现python数独游戏

2018/03/30 Python

Python设计模式之外观模式实例详解

2019/01/17 Python

Django Python 获取请求头信息Content-Range的方法

2019/08/06 Python

pytorch多GPU并行运算的实现

2019/09/27 Python

Jupyter打开图形界面并画出正弦函数图像实例

2020/04/24 Python

python 实时调取摄像头的示例代码

2020/11/25 Python

快速实现一个简单的canvas迷宫游戏的示例

2018/07/04 HTML / CSS

浅析HTML5 meta viewport参数

2020/10/28 HTML / CSS

shell程序中如何注释

2012/02/17 面试题

电子商务专业个人的自我评价

2013/12/19 职场文书

乡镇信息公开实施方案

2014/03/23 职场文书

住宅质量保证书

2014/04/29 职场文书

任命书标准格式

2015/03/02 职场文书

企业年会祝酒词

2015/08/11 职场文书

2019最新劳动仲裁申请书！

2019/07/08 职场文书

详解pytorch创建tensor函数

2022/03/22 Python

《月歌。》宣布制作10周年纪念剧场版《RABBITS KINGDOM THE MOVIE》

2022/04/02 日漫