浏览器跨域问题,top与iframe之间的通信问题

最新推荐文章于 2024-08-14 09:30:44 发布
最新推荐文章于 2024-08-14 09:30:44 发布
阅读量1.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_9473/article/details/82638256
版权
本文介绍了window.postMessage作为跨域通信工具的工作原理和安全使用注意事项。通过示例展示了如何在不同源的窗口间传递消息,以及在iframe中实现双向通信,特别强调了在设置targetOrigin时避免使用通配符'*'以防止潜在的安全风险。
摘要由CSDN通过智能技术生成
window.postMessage 是一个用于安全的使用跨源通信的方法。通常,不同页面上的脚本只在这种情况下被允许互相访问,当且仅当执行它们的页面所处的位置使用相同的协议(通常都是 http)、相同的端口(http默认使用80端口)和相同的主机(两个页面的 document.domain 的值相同)。 在正确使用的情况下,window.postMessage 提供了一个受控的机制来安全地绕过这一限制。

useage: 

otherWindow.postMessage(message, targetOrigin);


otherWindow指定需要获得消息的窗体window,
message是字符串,指定要从当前窗体发送到otherWindow的消息,是字符串。targetOrigin指定otherWindow的来源(src)。想要被发送message的otherWindow的origin。可以是 '*'或者是uri ,如果搞错了,使得targetOrigin中的
协议,主机名,端口号与想要被发送message的窗体来源URI中的不一致,
那么这条消息不会被派遣到目标otherWindow内。所以别把协议等等搞错了。深层意思是会忽略路径!
只有都相同时指目标窗体otherWindow才会收到。这条指令告诉了我们在哪里发送消息,传输密码时一定要保证一致!不然会被第三方侦听。
[b]在你知道otherWindow的来源时,请提供一个特殊化的uri,不要使用‘*’,一但没有特殊化targetOrigin会使它被发往一些不坏好意的地方。[/b]
然后再在otherWindow里 绑定onmessage事件,用来监听传来的message。
一旦监听到,会将一个对象传入onmessage的事件处理函数。由事件处理函数进行处理。该对象(设为a)有3个属性,a.data a.origin指在postMessage被调用时发送消息的对象otherWindow,包括协议,主机名,端口例子(http://www.baidu.com:8080;或者https://example.org 默认端口443,http://example.net默认端口80) a.source,指代发送message的window对象,(这是按照官方文档翻译的,但是有点不明白?照下面的例子它分明指的是消息来源所在的window。因为此时调用另一个window对于它是不可见的,因为同源策略)你可以用这个属性去建立两个不同源的window之间的双向通信,
其中a.data存储的是传来的message。
下面用例子实现双向通信。

http://bbs.example.com 

js
function sendIt(){
		document.getElementById("otherPage").contentWindow.postMessage(document.getElementById("message").value, 
				"http://hui.example.com");
	}

		window.onmessage=function(e){
		document.getElementsByClassName('h')[0].innerHTML+=e.data+"<br>";
		setTimeout(function(){
				e.source.postMessage(document.getElementById("message").value,e.origin);
//获取发送message的源地址。
		},4000);
	}

html
<body>
	<iframe src="http://hui.example.com/TestHTML5/WebContent/other-domain.html" id="otherPage"></iframe>
	<br/><br/>
	<input type="text" id="message"><input type="button" value="Send to hui.example.com" onclick="sendIt()" />
</body>




http://hui.example.com 


js

window.onmessage=function(event){

			document.getElementById("message").innerHTML+=event.data+"<br/>";

		event.source/*或者window.top*/.postMessage('hello',event.origin);
}
html
<body>
	Web page from http://hui.example.com
	<div id="message"></div>
	<input type="text" id="message"><input type="button" value="Send to child.com" onclick="postIt()" />
</body>



这样可以使两个不同域名间的window互发短消息。
但是先修改下host文件,使域名主机不同

以下举一个实际运用的列子。
一般网站为了缓解流量压力,会在全国各地部署cdn系统(CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。)一般存放图片,css,js等等,
但是有时cdn可能会出现问题,访问不上,用户无法查看到图片啊等等,那么我们怎么知道是哪个cdn出问题了呢?或者哪个ip的客户无法访问呢?答案就是利用浏览器跨域通信,
在cdn上放一个测试文件比如,test.html.然后在网站里插入一个iframe,一般本站的网址与这个测试文件是不同主机的(因为测试文件与缓存放在cdn上面),所以不同源,
现在在iframe里用postMessage发送一条消息到外部window。
外部window用一个dom元素,接受这条消息,在等待1s去获取这条消息,如果没有获取到,说明有延时。
假如,cdn有延时,不正常。
iteye_9473
关注
iframe跨域问题思考
wujimiao的专栏
11-03 1447
工作遇到一个bug,弹窗调整至顶层window.top.dialog,使用的artDialog弹窗插件,本来用的好好的,可是随着需求的增加,bug就出现。 需求:在一个弹窗基础上,再添加弹窗展示某项数据,后台接口请求数据 代码现状:那个弹窗是通过iframe引用一个新的页面展示,我要在那个iframe引用的页面添加另外弹窗 问题:1.那个弹窗若是保证正常展示,那个弹窗展示也是在ifr
iframe通信方案top.PostMassage()的使用
weixin_54508417的博客
01-26 823
1.iframe页面集成通信 top.PostMassage()可以用来对使用firame嵌套的父页面进行通信 top.PostMassage({},*) 1.top.PostMassage()函数接受两个参数 * 参数1 为发送的信息 * 参数2 为发送的指定域 (* 则为所有域) ...
iframe 通信的三种方式(重点介绍postMessage)
最新发布
weixin_46544600的博客
08-14 1630
- 父级html --> < button onclick = " postMessageBtn() " > postMessageBtn </ button > < iframe id = " myIframe " src = " http://172.30.10.18:8080/#/login " width = " 375 " height = " 700 " > </ iframe > < script > /**
学会iframe并用其解决跨域问题
热门推荐
m0_59345890的博客
08-03 2万+
我们设置了一个名为ifr,宽为600,高为400,显示边框,隐藏滑动条,显示文档为b站(也可以选择本地html文档)的内联框架。我们可以在iframe标签中写上文字说明,因为有一些低版本浏览器不支持这个标签,显示不了文档的时候就会在页面显示我们写的文字。父页面通过iframe嵌入子页面,通过iframe.contentWindow获取子页面的window,即可操作子页面,子页面通过parent.window和parent来访问父页面的window。src:规定在 中显示的文档的 URL。...
js iframe 出现问题
会飞的程序猿
09-17 1121
iframe 本来解决跨域问题的,但是使用不当,就会出现自身接口域报错 iframe页面,检查有没有 window.top 、window.parent 等和父页面关联字段。 如果有,去掉,域报错就没了。 原因是,用top,parent 会使当前iframe的域名指向变为父页面域名 ...
近乎完美的简单 JS 域解决方式 --window.name
一灯笔记
12-09 1295
当然,“近乎完美”仅仅是个人观点,但如下所述,它确实简单而颇有效益!  一直在寻求一种自己满意的 JS 域方式(这里是指任意域),曾经了解过:  即时插入 script 元素的方式,会让脚本立即执行,不安全,并且需要与域的远端做好约定——比如变量名。细节较为繁琐。写 iframe 的 location.hash 的方式,会导致历史记录的产生,且数据量有限,同时,因为 URL 的内容可
iframe通信封装详解
12-08
本文将详细介绍一种通信的封装方法,帮助理解如何在不同源的`iframe`之间进行数据交换。 ### 1. 问题场景 假设我们有一个顶级页面`http://www.demo.org/top.html`,它嵌入了`...
layer弹窗:top.layer弹窗到父页面域解决办法
05-15
然而,由于浏览器的安全策略,不同的源(origin)之间存在同源策略,阻止了不同域的iframe与父页面直接通信,这就引出了跨域问题。 其次,我们来谈谈**域**。同源策略是浏览器为了安全而实施的一项策略,它限制了...
利用iframe实现ajax通信的实现原理(图解)
大爱无疆的博客
11-17 1086
一般情况下都是用在同一域下的ajax请求;但是如果请求是发生在不同的域下,请求就无法执行,并且会抛出异常提示不允许域请求,接下来介绍利用iframe实现ajax通信感兴趣的朋友可以了解下,或许对你学习ajax域有所帮助 在漫长的前端开发旅途上,无可避免的会接触到ajax,而且一般情况下都是用在同一域下的ajax请求;但是如果请求是发生在不同的域下,请求就无法执行,并且会抛出异常提示不允许
Iframe FrameSet top 内嵌示例
07-03
页面框架内嵌示例,通过IFRAME与FRAMESET内嵌后不会出现滚动条的问题,以及top跳出框架问题
iframeiframe组件之间通信
Ccfitch的博客
06-05 1235
2、当外层组件或者父组件的addEventListener方式不便于修改时(例如是比较旧的项目),也可以通过window.top进行一些另类的操作,下图1是打印出来的iframe里面打印出来的window.top,图2是控制台打印的window.top,可以看iframe里面获取window.top能拿到的信息是有限的。otherWindow指的是目标窗口,也就是要给哪一个window发送消息,是window.frames属性的成员或者是window.open方法创建的窗口。通过window.top!
实现ifream内外互相交互功能(vue2以及vue3写法)
Destinynever的博客
12-27 2070
【代码】实现ifream内外互相交互功能(vue2以及vue3写法)
域的那些事儿
大转转FE
06-23 241
前言最近做项目的时候遇到了一些跨域问题,虽然网上对于域的问题分享还挺多的。不过当我实际遇到的时候还是有点懵。趁项目刚上线完,写篇文章总结下。造成域的两种策略浏览器的同...
域:利用iframe实现域DOM互访的四种方式
qq_68163788的博客
11-11 7070
使用 iframe 实现域访问是一种常见的技术。通过将另一个域的内容嵌入到当前页面iframe 中,可以实现域访问。这种方法通常用于在网页中嵌入来自不同域的内容,比如嵌入其他网站的地图、视频或其他资源。 但需要注意的是,由于安全原因,浏览器通常会限制域访问,因此在使用 iframe 实现域访问时,需要确保被嵌入的内容允许域访问,或者采取其他安全措施来确保安全性。使用 iframe 实现域访问是一种常见的技术。通过将另一个域的内容嵌入到当前页面iframe 中,可以实现域访问。
域代理页执行Javascript控制TOP窗体dom,安全问题.
up2vs
04-14 166
各位好,近期我在工作中遇到这么一个问题: 在一个b/s软件系统后台嵌入一个越的iframe来推送和软件有关的官方信息。 但由于软件系统可能会在局域网部署,所以就遇到iframe出现404的错误页面,体验很不好。 ———— 我的解决方法是: 1.嵌入到软件端的iframe(FRM01)默认visibility :hidden; 2.软件端建立接收代理页请求接口,并...
详解域(最全的解决方案)
m0_54138989的博客
06-03 1301
1. 什么是域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。 同源策略限制了一下行为: Cookie、LocalStorage 和 IndexDB 无法读取 DOM 和 JS 对象无法获取 Ajax请求发送不出去 2. 常见的域场景 所谓的同源是指,域名、协议、端口均为相同。 http://www.nealyang.cn/index.html 调用 http://www.nealyang.cn/server.php 非域 h
跨域问题的解决与具体实现
zem
10-26 880
为什么会有域指的是当两个url的协议,域名,端口三者有一个不同,就会发送域。之所以会有域,是因为浏览器的同源策略限制。 域的解决方法 jsonp jsonp简单来说就是通过在html中插入一个script标签,利用其src属性来发起请求,通过在src中为callback添加对应的回调函数来达到对响应数据进行处理的目的 如下例子 发起请求的客户端 <!DOCTYPE html&...
浏览器跨域问题及其解决方案
* 优点:简单、兼容性好、可用于解决主流浏览器域数据访问的问题 * 缺点:仅支持get方法、具有局限性、不安全 2. CORS(Cross-Origin Resource Sharing) CORS是一种机制,它允许服务器声明哪些源站点具有访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值