编程 HTML / CSS

关于iframe跨域使用postMessage的实现

Posted in HTML / CSS onOctober 29, 2019

当我们要在域名A.com下使用一个域名B.com提供的页面服务，直觉想到的实现方式就是使用iframe。但是iframe直接的交互存在**跨域问题**，目前看来解决方式有两种。一是使用nginx代理转发，在域名A的nginx上配置指定的转发规则，直接指向域名B，直接干掉了跨域；另一种方式是使用postMessage方法。此处针对第二种方式，看下使用方式和可能的问题。

postMessage是什么

此处引用MDN关于postMessage的详细说明。简而言之就是：postMessage是挂载在window下的一个方法，用于不同域名下的两个页面的信息交互，父子页面通过postMessage（）发送消息，再通过监听message事件接收信息。

postMessage使用

假设有一个父页面indexPage.html, 子页面iframePage.html

一、父页面向子页面发送消息

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息，否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage({msg: 'MessageFromIndexPage'},'\*');

}

iFrame.contentWindow.postMessage('MessageFromIndexPage','b.com')

方法的第一个参数是发送的消息，无格式要求；第二个参数是域名限制，当不限制域名时填写* ，第三个可选参数transfer一般不填，这个参数有严重的浏览器兼容问题。

二、子页面接收父页面发送的消息

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

console.log( '这里是接收到来自父页面的消息，消息内容在event.data属性中', event )

}, false)

三、子页面给父页面传递消息

window.parent.postMessage({name: '张三'}, '\*');

方法的第一个参数是发送的消息，目前可无格式要求，在 Gecko 6.0 (Firefox 6.0 / Thunderbird 6.0 / SeaMonkey 2.3)之前，参数 message 必须是一个字符串；第二个参数是域名限制，当不限制域名时填写’*‘

四、父页面接收子页面的消息

//监听message事件

window.addEventListener("message", function receiveMessageFromIframePage (event) {

console.log('这里是子页面发送来的消息，消息内容在event.data属性中', event)

}, false);

postMessage的安全问题

使用postMessage交互，默认就是允许跨域行为，一旦允许跨域，就会有一些安全问题，针对postMessage主要有两种攻击方式。一是伪造数据发送方（父页面），易造成数据接收方（子页面）受到XSS攻击或其他安全问题；二是伪造数据接收方，类似jsonp劫持。

一、伪造数据发送方

攻击方式：伪造一个父页面，引导使用者触发功能，发送消息给子页面，如果子页面将父页面发送的消息直接插入当前文档流，就是引发XSS攻击，或者子页面使用父页面传递的消息进行其他操作，例如写入数据，造成安全问题。

防范方式：子页面iframe对接收到的message信息做域名限制

// 子页面iframePage.html

//监听message事件

window.addEventListener("message", function(event){

origin = event.origin || event.originalEvent.origin

if(origin == 'https://A.com'){

console.log( '这里是接收到来自父页面的消息，消息内容在event.data属性中', event )

}

}, false)

二、伪造数据接收方

攻击方式：伪造一个子页面，在父页面中引入子页面，在伪造的页面中接收父页面发送的消息，此时可以获取用户的敏感消息。

防范方式：父页面对发送消息的页面做域名限制

// 父页面index.html

//获取iframe元素

iFrame = document.getElementById('iframe')

//iframe加载完毕后再发送消息，否则子页面接收不到message

iFrame.onload = function(){

//iframe加载完立即发送一条消息

iFrame.contentWindow.postMessage('MessageFromIndexPage','https://B.com');

}

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持三水点靠木。

关于iframe跨域使用postMessage的实现

- Author -

牛什么莹

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

HTML / CSS 相关文章推荐

全面解析CSS Media媒体查询使用操作（推荐）

Aug 15 HTML / CSS

纯CSS3实现带动画效果导航菜单无需js

Sep 27 HTML / CSS

css3制作彩色边线3d立体按钮的示例(css3按钮)

May 06 HTML / CSS

基于CSS3实现图片模糊过滤效果

Nov 19 HTML / CSS

CSS3 RGBA色彩模式使用实例讲解

Apr 26 HTML / CSS

CSS3 旋转立方体问题详解

Jan 09 HTML / CSS

HTML5 Canvas玩转酷炫大波浪进度图效果实例（附demo）

Dec 14 HTML / CSS

html5中使用hotcss.js实现手机端自适配的方法

Apr 23 HTML / CSS

H5离线存储Manifest原理及使用

Apr 28 HTML / CSS

HTML+CSS 实现顶部导航栏菜单制作

Jun 03 HTML / CSS

css3中transform属性实现的4种功能

Aug 07 HTML / CSS

在HTML中引入CSS的几种方式介绍

Dec 06 HTML / CSS

使用canvas生成含有微信头像的邀请海报没有微信头像问题

Oct 29 #HTML / CSS

Html5与App的通讯方式详解

Oct 24 #HTML / CSS

html+js 实现markdown编辑器效果

Oct 23 #HTML / CSS

高清屏下canvas重置尺寸引发的问题的解决

Oct 14 #HTML / CSS

HTML table 表格边框的实现思路

Oct 12 #HTML / CSS

Html5自定义字体解决方法

Oct 09 #HTML / CSS

webView加载html图片遇到的问题解决

Oct 08 #HTML / CSS

You might like

php实现mysql数据库操作类分享

2014/02/14 PHP

基于PHP实现的事件机制实例分析

2015/06/18 PHP

thinkPHP自定义类实现方法详解

2016/11/30 PHP

PHP文件后缀不强制为.php方法

2019/03/31 PHP

Laravel框架控制器，视图及模型操作图文详解

2019/12/04 PHP

基于jquery的高性能td和input切换并可修改内容实现代码

2011/01/09 Javascript

关于JAVASCRIPT urldecode URL解码的问题

2012/01/08 Javascript

js动态添加事件并可传参数示例代码

2013/10/21 Javascript

使用JavaScript脚本判断页面是否在微信中被打开

2016/03/06 Javascript

基于jquery实现简单的分页控件

2016/03/17 Javascript

jquery动态创建div与input的实例代码

2016/10/12 Javascript

读Javascript高性能编程重点笔记

2016/12/21 Javascript

angularjs实现过滤并替换关键字小功能

2017/09/19 Javascript

JavaScript定义函数的三种实现方法

2017/09/23 Javascript

详解nuxt sass全局变量(公共scss解决方案)

2018/06/27 Javascript

深入理解JavaScript 中的执行上下文和执行栈

2018/10/23 Javascript

jQuery HTML获取内容和属性操作实例分析

2020/05/20 jQuery

Python内置函数Type()函数一个有趣的用法

2015/02/18 Python

Python实现通讯录功能

2018/02/22 Python

Python Django 母版和继承解析

2019/08/09 Python

Python常用模块sys,os,time,random功能与用法实例分析

2020/01/07 Python

Python字符串查找基本操作代码案例

2020/10/27 Python

浅析pandas随机排列与随机抽样

2021/01/22 Python

详解CSS透明opacity和IE各版本透明度滤镜filter的最准确用法

2016/12/20 HTML / CSS

英国领先的瓷砖专家：Walls and Floors

2018/04/27 全球购物

大都会艺术博物馆商店：The Met Store

2018/06/22 全球购物

三星新西兰官网：Samsung新西兰

2019/03/05 全球购物

Glamest意大利：女性在线奢侈品零售店

2019/04/28 全球购物

台湾演唱会订票网站：StubHub台湾

2019/06/11 全球购物

水电工岗位职责

2014/02/12 职场文书

2014小学数学教研组工作总结

2014/12/06 职场文书

创业计划书之DIY自助厨房

2019/09/06 职场文书

spring boot中nativeQuery的用法

2021/07/26 Java/Android

淡雅古典唯美少女娇媚宁静迷人写真

2022/03/21 杂记

sql查询语句之平均分、最高最低分及排序语句

2022/05/30 MySQL

Java中的Kotlin 内部类原理

2022/06/16 Java/Android