js中【postMessage】八大点解读+完整示例

最新推荐文章于 2024-09-19 15:38:52 发布
最新推荐文章于 2024-09-19 15:38:52 发布
阅读量1.9k 收藏 19
点赞数 20
分类专栏: JavaScript 文章标签: javascript 开发语言 ecmascript 前端 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79858914/article/details/142117919
版权

postMessage() 是 JavaScript 中一个用于在不同的窗口、iframe 或者标签页之间进行跨域通信的 API。它通过一种安全的方式允许文档之间发送消息,而不要求它们在同一个源(域名、协议、端口)上。下面详细讲解 postMessage() 相关的知识点。

1. 基本概念

postMessage() 是 HTML5 引入的 API,允许一个窗口发送消息到另一个窗口,无论它们是否同源。它广泛用于 Web 应用中,尤其是在现代网页应用程序中,用来在主页面和 iframe、弹出窗口、服务端之间进行通信。

2. 语法

window.postMessage(message, targetOrigin, [transfer]);
  • message:要发送的消息,可以是字符串或是任何可序列化的数据(例如对象、数组)。消息内容会通过结构化克隆算法进行传递,类似 JSON 序列化。
  • targetOrigin:指定可以接收消息的窗口的源(协议、域名、端口),以确保消息不会被发送到未知或不信任的站点。可以使用 "*" 表示不限制目标源,但这样可能会带来安全隐患。
  • transfer(可选):传递的对象,通常是像 ArrayBuffer 或者 MessagePort 这样的对象,这些对象会通过转移的方式而不是拷贝传递。

3. 消息接收

要接收通过 postMessage() 发送的消息,目标窗口必须监听 message 事件。可以通过以下方式注册事件处理程序:

window.addEventListener("message", function(event) {
  // 检查消息的来源是否可信
  if (event.origin !== "https://trusted-origin.com") {
    return;
  }

  // 处理接收到的消息
  console.log("Message received:", event.data);
});

4. 安全性

跨域通信中,安全性是最为重要的考虑因素。为了避免消息被不可信的站点截获或伪造,建议遵循以下安全性规则:

  • targetOrigin 的使用:总是显式指定目标源,而不是使用 "*",这样可以确保消息只会发送到特定的站点。

    window.postMessage("Hello", "https://trusted-site.com");

  • 验证消息来源:在接收到消息时,检查 event.origin 是否为可信的源,避免处理来自恶意站点的消息。

  • 消息的校验:在处理接收到的消息之前,确保对消息的内容进行校验,防止潜在的恶意代码注入攻击。

5. postMessage() 的应用场景

5.1. iframe 与主页面通信

postMessage() 最常见的使用场景之一是在主页面与嵌入的 iframe 之间进行通信。无论它们是否属于同一个域名,都可以通过 postMessage() 来实现安全通信。

示例:主页面发送消息给 iframe
<!-- 主页面 -->
<iframe id="myFrame" src="https://other-domain.com"></iframe>
<script>
  var iframe = document.getElementById('myFrame');
  iframe.contentWindow.postMessage('Hello iframe', 'https://other-domain.com');
</script>
示例:iframe 接收消息
<!-- iframe 页面 -->
<script>
  window.addEventListener('message', function(event) {
    if (event.origin !== 'https://trusted-domain.com') {
      return;
    }
    console.log('Received message from parent:', event.data);
  });
</script>
5.2. 跨窗口通信

在一个页面中打开了一个新窗口,可以使用 postMessage() 在父窗口和子窗口之间进行通信。

示例:父窗口发送消息给子窗口
var popup = window.open("https://other-domain.com");
popup.postMessage('Hello popup', 'https://other-domain.com');
示例:子窗口接收消息
window.addEventListener('message', function(event) {
  if (event.origin !== 'https://trusted-domain.com') {
    return;
  }
  console.log('Message from parent window:', event.data);
});
5.3. Web Workers 与主线程通信

postMessage() 也可以用于 Web Worker 和主线程之间的通信。由于 Web Worker 没有直接访问 DOM 的权限,它们需要与主线程进行通信来完成任务。

示例:主线程发送消息给 Web Worker
var worker = new Worker('worker.js');
worker.postMessage('Hello Worker');
示例:Web Worker 接收消息
// worker.js
self.addEventListener('message', function(event) {
  console.log('Message from main thread:', event.data);
});
5.4. Service Worker 与页面通信

Service Worker 也是一种场景,页面可以使用 postMessage() 与 Service Worker 通信,实现一些后台任务的交互。

6. event 对象的属性

当目标窗口接收到 message 事件时,event 对象会包含以下属性:

  • data:发送的消息内容。
  • origin:消息来源的协议、域名和端口。
  • source:发送消息的窗口对象,允许我们回复发送方。
  • lastEventId:消息的唯一标识符(通常在服务器发送事件中使用)。
  • ports:如果消息涉及 MessagePort 对象,则可以通过此属性获取传递的端口。

7. 注意事项

  • 跨域限制postMessage() 允许跨域发送消息,但前提是接收方必须显式监听 message 事件,否则消息不会被接收。
  • 消息序列化:消息数据在传递过程中会被序列化(结构化克隆),因此一些复杂对象(如 DOM 元素、函数)无法直接传递。
  • 性能:传递大型对象时,建议使用 transfer 参数以传递而非拷贝数据,从而提高性能。

8. 其他进阶用法

8.1. 传递 MessagePort

postMessage() 支持 MessagePort 传递,可以用于创建双向通信通道。

示例:传递 MessagePort
// 在 iframe 页面中创建一个 MessageChannel
var channel = new MessageChannel();

// 将一端 port 发送给主页面
parent.postMessage('Here is a port', 'https://trusted-domain.com', [channel.port2]);

// 监听消息
channel.port1.onmessage = function(event) {
  console.log('Received message through channel:', event.data);
};

9. 总结

postMessage() 是一个强大而灵活的 API,能够实现不同窗口、iframe、Web Worker 以及其他上下文之间的安全通信。虽然它简化了跨域通信的实现,但也带来了潜在的安全风险。使用 postMessage() 时,必须注意确保消息的发送和接收过程都是可信的,尤其是要谨慎指定 targetOrigin 和验证消息来源的 origin 属性。

10. 完整示例

以下是一个完整的跨窗口通信示例,演示了如何使用 postMessage() 在两个不同的窗口之间传递消息:

<!-- 父页面 -->
<!DOCTYPE html>
<html>
<head>
  <title>Parent Window</title>
</head>
<body>
  <button id="sendMessage">Send Message to Child</button>

  <script>
    var popup = window.open('child.html', 'ChildWindow', 'width=400,height=400');

    document.getElementById('sendMessage').addEventListener('click', function() {
      popup.postMessage('Hello from parent', 'http://example.com');
    });

    window.addEventListener('message', function(event) {
      if (event.origin !== 'http://example.com') return;
      console.log('Received message from child:', event.data);
    });
  </script>
</body>
</html>

<!-- 子页面 (child.html) -->
<!DOCTYPE html>
<html>
<head>
  <title>Child Window</title>
</head>
<body>
  <script>
    window.addEventListener('message', function(event) {
      if (event.origin !== 'http://example.com') return;
      console.log('Received message from parent:', event.data);
      event.source.postMessage('Hello from child', event.origin);
    });
  </script>
</body>
</html>

这个示例展示了父窗口和子窗口如何通过 postMessage() 进行双向通信,并通过 event.origin 验证消息来源的安全性。

OEC小胖胖
关注
专栏目录
【网络安全】PostMessage:分析JS实现XSS
等风来
07-17 1434
PostMessage是一个用于在网页间安全地发送消息的浏览器 API。它允许不同的窗口(例如,来自同一域名下的不同页面或者不同域名下的跨域页面)进行通信,而无需通过服务器。通常情况下,它用于实现跨文档消息传递(Cross-Document Messaging),这在一些复杂的网页应用和浏览器插件非常有用。
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
热门推荐
杨秀璋的专栏
01-13 1万+
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文详细讲解了hack the box在线渗透平台获取邀请码、注册过程。本文将分享Web渗透三道入门题目,它们包括Python编写md5加密发送Post、万能密码和URL路径猜测、BurpSuite和Hydra密码爆破等。基础性文章,希望对您有所帮助!
js窗口的postMessage方法1
08-08
js窗口的postMessage方法1
javascriptpostmessage
weixin_30713953的博客
10-12 148
摘要 postmessage 作为 html5 跨域传值的解决方法,灰常好用啊。。本次用的是页面a 用iframe 嵌入 页面b。 使用方法 postmessage 参数 otherWindow.postMessage(message, targetOrigin, [transfer]); message 为 待传递的信息,字符串 targetOrigin 为可接收此信息的页面范围, 一般为域名 ...
JSpostMessage与MessageChannel
最新发布
owo_ovo的博客
09-19 1001
JSpostMessage与MessageChannel
JS跨域常见的三种方法---JSONP、CORS、postMessage
qq_40436793的博客
08-08 800
一、JSONP 1. JSONP原理: (1)不存在跨域请求限制的标签:img、script、link、iframe、form,JSONP正是利用script标签的该特性实现跨域 (2)JSONP利用<script>标签不受跨域请求限制的特性,向服务器发送请求,并且将回调函数传递给服务器;服务器收到请求和函数后,以json格式作为回调函数的参数传递给它,也就是用json数据来填充回调函数,并返回数据到客户端;客户端收到服务器响应后执行回调函数,该回调函数可以用来处理服务器的返回数据。 2
JS】html5 postMessage解决跨域、跨窗口消息传递
wan小小冰的博客
10-12 314
转载地址:http://www.cnblogs.com/dolphinX/p/3464056.html
JavaScript高级语法之跨域(postMessage,CORS,JSONP)
上善若泪
05-08 3592
目录 1 postMessage概述 1.1 iframe与主页面的通信 2 CORS 2.1 发送请求,“预检”机制 2.2 收到响应 3 JSONP 1 postMessage概述 所谓“同域限制”指的是,出于安全考虑,浏览器只允许脚本与同样协议、同样端口、同样域名的地址进行通信。比如,www1.example.com页面上面的脚本,只能与该域名(相同协议、相同端口)进行通信,...
JSpostMessage 用法(可以给iframe传值)
qq_45677671的博客
12-08 1万+
跨文档消息,有时候也简称为`XDM(cross-document messaging)`,是一种在不同执行上下文(如不同源的页面)间传递信息的能力。 例如:`www.wrox.com`上的页面想要与包含在内嵌窗格的`p2p.wrox.com`上面的页面通信 `XMD`的核心就是`postMessage()`方法,将`message`传递给指定窗口
js窗口间通信--postMessage
bob_baobao的博客
03-28 1万+
why我们知道:浏览器限制不同窗口之间的通信,除非同一个域名下的网页。为了解决这一问题,HTML5新出了一个API window.postMessage, 实现了不同域名的窗口通信。 whatMDN上webAPI语法: otherWindow.postMessage(message, targetOrigin);otherWindow: 其他窗口的一个引用,比如iframe的conten
JavaScriptpostMessage()方法解决跨域问题记录
12-14 668
posetMessage的APIhttps://developer.mozilla.org/zh-CN/docs/Web/API/Window/postMessage 经过测试大部分跨域问题能解决,但input:file单击事件跨域解决不了,测试代码如下: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title&g
JavaScript postMessage跨域通信
lumot的博客
09-18 762
这玩意儿很早以前就有了,只是一直没流行起来。但是现在差不多可以用用了,下面这个是国内最新的浏览器市场份额数据   可见IE8的普及程度已经很高了,所以不做IE7-的网站也渐渐多起来,是时候使用这些东...
PostMessage函数的使用实例
07-25
迅雷看看“本片即将结束,你可能也喜欢以下内容”提示的去除工具。其包含可执行程序及源代码。涉及到的开发工具:vc6.0及spy++。详见http://blog.csdn.net/wwwwws/article/details/9433817
进程间用postMessage发消息 ,在实际开发的实例,
05-12
使用postMessage SendMessage 进程间通讯 管道 剪贴板 邮槽 共享内存 在子父进程间用postmessage通讯,本来用管道是最好的
前端基础知识-每天一个基本知识(100+个前端小知识,你是否都知道?)
m0_67394006的博客
03-02 9240
文章目录 前言 第一回合 一、知识:cookie(21/09/06) 二、知识:节流和防抖(21/09/07) 三、知识:var和let以及const(21/09/08) 四:知识:深拷贝和浅拷贝(21/09/09) 五、知识:作用域和作用域链(21/09/10) 六、知识:从输入URL到页面展示这间发生了什么(21/09/11) 七、知识:重排和重绘(21/09/12) 八、知识:TCP和UDP(21/09/13) 九、知识:三次握手(21/09/15) 十、知识:绝对定位和相对定
JavaScript 逆向 ( 一 ) --- JavaScript 语法基础
墨鱼菜鸡
07-11 941
js 逆向:https://www.cnblogs.com/wuxianyu/category/1940304.html js逆向2:https://www.cnblogs.com/wuxianyu/category/1941486.html JS 的类型转换:https://segmentfault.com/a/119000001367922...
JavaScript笔记
shine_my的博客
03-13 3412
JavaScript笔记
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
Js实现2个浏览器窗口数据交互window.postMessage()方法
XiaoCheng_T的博客
03-25 4872
一、window.postMessage是什么? 根据官方给定的理解如下: window.postMessage() 方法可以安全地实现跨源通信。通常,对于两个不同页面的脚本,只有当执行它们的页面位于具有相同的协议(通常为https),端口号(443为https的默认值),以及主机 (两个页面的模数 Document.domain设置为相同的值) 时,这两个脚本才能相互通信。window.postMessage() 方法提供了一种受控机制来规避此限制,只要正确的使用,这种方法就很安全。 从广义上讲,一个窗
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值