首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 HTML / CSS

关于iframe跨域使用postMessage的实现

Posted in HTML / CSS onOctober 29, 2019

当我们要在域名A.com下使用一个域名B.com提供的页面服务,直觉想到的实现方式就是使用iframe。但是iframe直接的交互存在**跨域问题**,目前看来解决方式有两种。一是使用nginx代理转发,在域名A的nginx上配置指定的转发规则,直接指向域名B,直接干掉了跨域;另一种方式是使用postMessage方法。此处针对第二种方式,看下使用方式和可能的问题。

postMessage是什么

此处引用MDN关于postMessage的详细说明。简而言之就是:postMessage是挂载在window下的一个方法,用于不同域名下的两个页面的信息交互,父子页面通过postMessage()发送消息,再通过监听message事件接收信息。

postMessage使用

假设有一个父页面indexPage.html, 子页面iframePage.html

一、父页面向子页面发送消息

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息,否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage({msg: 'MessageFromIndexPage'},'\*');

}

iFrame.contentWindow.postMessage('MessageFromIndexPage','b.com')

方法的第一个参数是发送的消息,无格式要求;第二个参数是域名限制,当不限制域名时填写* ,第三个可选参数transfer一般不填,这个参数有严重的浏览器兼容问题。

二、子页面接收父页面发送的消息

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

console.log( '这里是接收到来自父页面的消息,消息内容在event.data属性中', event )

}, false)

三、子页面给父页面传递消息

window.parent.postMessage({name: '张三'}, '\*');

方法的第一个参数是发送的消息,目前可无格式要求, 在 Gecko 6.0 (Firefox 6.0 / Thunderbird 6.0 / SeaMonkey 2.3)之前, 参数 message 必须是一个字符串;第二个参数是域名限制,当不限制域名时填写’*‘

四、父页面接收子页面的消息

//监听message事件

window.addEventListener("message", function receiveMessageFromIframePage (event) {

console.log('这里是子页面发送来的消息,消息内容在event.data属性中', event)

}, false);

postMessage的安全问题

使用postMessage交互,默认就是允许跨域行为,一旦允许跨域,就会有一些安全问题,针对postMessage主要有两种攻击方式。一是伪造数据发送方(父页面),易造成数据接收方(子页面)受到XSS攻击或其他安全问题;二是伪造数据接收方,类似jsonp劫持。

一、伪造数据发送方

攻击方式:伪造一个父页面,引导使用者触发功能,发送消息给子页面,如果子页面将父页面发送的消息直接插入当前文档流,就是引发XSS攻击,或者子页面使用父页面传递的消息进行其他操作,例如写入数据,造成安全问题。

防范方式:子页面iframe对接收到的message信息做域名限制

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

origin = event.origin || event.originalEvent.origin

if(origin == 'https://A.com'){

console.log( '这里是接收到来自父页面的消息,消息内容在event.data属性中', event )

}

}, false)

二、伪造数据接收方

攻击方式:伪造一个子页面,在父页面中引入子页面,在伪造的页面中接收父页面发送的消息,此时可以获取用户的敏感消息。

防范方式:父页面对发送消息的页面做域名限制

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息,否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage('MessageFromIndexPage','https://B.com');

}

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

关于iframe跨域使用postMessage的实现

- Author -

牛什么莹

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

HTML / CSS 相关文章推荐
CSS3支持IE6, 7, and 8的边框border属性
Dec 28 HTML / CSS
CSS3之背景尺寸Background-size使用介绍
Oct 14 HTML / CSS
纯CSS3实现自定义Tooltip边框涂鸦风格的教程
Nov 05 HTML / CSS
CSS3中使用RGBa来调节透明度的教程
May 09 HTML / CSS
CSS3属性 line-clamp控制文本行数的使用
Mar 19 HTML / CSS
html5新特性与用法大全
Sep 13 HTML / CSS
HTML5 script元素async、defer异步加载使用介绍
Aug 23 HTML / CSS
HTML5实现视频弹幕功能
Aug 09 HTML / CSS
微信小程序canvas实现水平、垂直居中效果
Feb 05 HTML / CSS
HTML5表单验证特性(知识点小结)
Mar 10 HTML / CSS
ivx平台开发之不用代码实现一个九宫格抽奖功能
Jan 27 HTML / CSS
如何用H5实现好玩的2048小游戏
Jul 23 HTML / CSS
使用canvas生成含有微信头像的邀请海报没有微信头像问题
Oct 29 #HTML / CSS
Html5与App的通讯方式详解
Oct 24 #HTML / CSS
html+js 实现markdown编辑器效果
Oct 23 #HTML / CSS
高清屏下canvas重置尺寸引发的问题的解决
Oct 14 #HTML / CSS
HTML table 表格边框的实现思路
Oct 12 #HTML / CSS
Html5自定义字体解决方法
Oct 09 #HTML / CSS
webView加载html图片遇到的问题解决
Oct 08 #HTML / CSS
zip(1) csv(4) Bean(3) 自动化(1) metaclass(1) enumerate(1) IOC(3) find(1) 进销存(1) list(1)
You might like
在mysql数据库原有字段后增加新内容
2009/11/26 PHP
php获取当前网址url并替换参数或网址的方法
2010/06/06 PHP
[原创]php实现子字符串位置相互对调互换的方法
2016/06/02 PHP
PHP中的浅复制与深复制的实例详解
2017/10/26 PHP
PHP实现求两个字符串最长公共子串的方法示例
2017/11/17 PHP
Tinymce+jQuery.Validation使用产生的BUG
2010/03/29 Javascript
jQuery News Ticker 基于jQuery的即时新闻行情展示插件
2011/11/05 Javascript
jQuery链式操作如何实现以及为什么要用链式操作
2013/01/17 Javascript
JavaScript的事件绑定(方便不支持js的时候)
2013/10/01 Javascript
jquery的trigger和triggerHandler的区别示例介绍
2014/04/20 Javascript
使用jquery解析XML示例代码
2014/09/05 Javascript
jQuery实现鼠标划过添加和删除class的方法
2015/06/26 Javascript
jQuery Easyui使用(二)之可折叠面板动态加载无效果的解决方法
2016/08/17 Javascript
javascript input输入框模糊提示功能的实现
2017/09/25 Javascript
解决vue v-for src 图片路径问题 404
2019/11/12 Javascript
js面向对象之实现淘宝放大镜
2020/01/15 Javascript
[05:26]2014DOTA2西雅图国际邀请赛 iG战队巡礼
2014/07/07 DOTA
python基础教程之python消息摘要算法使用示例
2014/02/10 Python
python基础教程之Hello World!
2014/08/29 Python
深入理解python多进程编程
2016/06/12 Python
OpenCV实现人脸识别
2017/04/07 Python
Python读写/追加excel文件Demo分享
2018/05/03 Python
树莓派动作捕捉抓拍存储图像脚本
2019/06/22 Python
Python爬虫爬取百度搜索内容代码实例
2020/06/05 Python
html5调用摄像头功能的实现代码
2018/05/07 HTML / CSS
html5跨域通讯之postMessage的用法总结
2013/11/07 HTML / CSS
使用html5制作loading图的示例
2014/04/14 HTML / CSS
Dockers美国官方网站:卡其裤、男士服装、鞋及配件
2016/11/22 全球购物
Nike澳大利亚官网:Nike.com (AU)
2019/06/03 全球购物
存储过程和sql语句的优缺点
2014/07/02 面试题
经典英文广告词
2014/03/18 职场文书
松材线虫病防治方案
2014/06/15 职场文书
2014院党委领导班子对照检查材料思想汇报
2014/09/24 职场文书
工程项目经理岗位职责
2015/02/02 职场文书
2016年元旦寄语
2015/08/17 职场文书
Golang 编译成DLL文件的操作
2021/05/06 Golang