前端跨域之PostMessage详解

最新推荐文章于 2024-05-09 15:58:59 发布
最新推荐文章于 2024-05-09 15:58:59 发布
阅读量3.2k 收藏 7
点赞数
分类专栏: JavaScript 文章标签: postMessage
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24510455/article/details/100560444
版权

window.postMessage() 方法可以安全地实现跨源通信。通常,对于两个不同页面的脚本,只有当执行它们的页面位于具有相同的协议(通常为https),端口号(443为https的默认值),以及主机  (两个页面的模数 Document.domain设置为相同的值) 时,这两个脚本才能相互通信。

otherWindow.postMessage(message, targetOrigin, [transfer]);

1.otherWindow

其他窗口的一个引用,比如iframe的contentWindow属性、执行window.open返回的窗口对象、或者是命名过或数值索引的window.frames。

2.message

将要发送到其他 window的数据。它将会被结构化克隆算法序列化。这意味着你可以不受什么限制的将数据对象安全的传送给目标窗口而无需自己序列化。

3.targetOrigin

通过窗口的origin属性来指定哪些窗口能接收到消息事件,其值可以是字符串”“(表示无限制)或者一个URI。在发送消息的时候,如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配targetOrigin提供的值,那么消息就不会被发送;只有三者完全匹配,消息才会被发送。这个机制用来控制消息可以发送到哪些窗口;例如,当用postMessage传送密码时,这个参数就显得尤为重要,必须保证它的值与这条包含密码的信息的预期接受者的orign属性完全一致,来防止密码被恶意的第三方截获。如果你明确的知道消息应该发送到哪个窗口,那么请始终提供一个有确切值的targetOrigin,而不是不提供确切的目标将导致数据泄露到任何对数据感兴趣的恶意站点。

4.transfer

是一串和message 同时传递的 Transferable 对象. 这些对象的所有权将被转移给消息的接收方,而发送一方将不再保有所有权。

 

看一下具体使用示例

<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>父页面</title>
</head>
<body>
<input name="ta" id="data" type="text" value="发送数据给子页面"/>
<button onclick="send()" id="btn">post message to children</button>
<div id="div" style="background: green;color: red;height: 30px"></div>
<iframe src="http://172.22.6.12:8080/taskGuidePcT.html" name="postIframe"></iframe>

<script>
  function send() {
    var data = document.getElementById('data').value
    var url = location.origin
    window.postIframe.postMessage(data,url); //发送数据
  }

  window.onmessage = function(e){
    e = e || event;
    document.getElementById("div").innerHTML = e.data;
  }
</script>
</body>
</html>

<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>子页面</title>
</head>
<body>
<input name="ta" id="data" type="text" value="发送数据给父页面"/>
<button onclick="send()" id="btn">post message to parent</button>
<div id="div" style="height: 30px"></div>
<script>
  var origin
  window.onmessage = function(e){
    origin = e.origin
    e = e || event;
    document.getElementById("div").innerHTML = e.data;
  }

  function send() {
    var data = document.getElementById('data').value
    window.parent.postMessage(data, origin)
  }
</script>
</body>
</html>

如果您不希望从其他网站接收message,请不要为message事件添加任何事件侦听器。 这是一个完全万无一失的方式来避免安全问题。

如果您确实希望从其他网站接收message,请始终使用origin和source属性验证发件人的身份。 任何窗口(包括例如http://evil.example.com)都可以向任何其他窗口发送消息,并且您不能保证未知发件人不会发送恶意消息。 但是,验证身份后,您仍然应该始终验证接收到的消息的语法。 否则,您信任只发送受信任邮件的网站中的安全漏洞可能会在您的网站中打开跨网站脚本漏洞。

当您使用postMessage将数据发送到其他窗口时,始终指定精确的目标origin,而不是*。 恶意网站可以在您不知情的情况下更改窗口的位置,因此它可以拦截使用postMessage发送的数据。

易-水寒
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
前端跨域方法之window.PostMessage
WEB_YH的博客
02-24 970
一、window.PostMessage适用于同一页面的不同窗体内跨域通信。该方法允许跨窗口通信,不论这两个窗口是否同源。二、举例来说,父窗口http://127.0.0.1:3000/index.html 向子窗口 http://127.0.0.1:3001/index.html发送消息,调用postMessage方法就行。(向谁发送消息,首先要获取其window对象,比如父窗口向子窗口发送消息...
前端常见跨域解决方案(1),解决外边距塌陷的问题
qiqiyuer的博客
04-05 1000
外链图片转存中…(img-AtYRjZqk-1712310860728)][外链图片转存中…(img-FbKEK5mr-1712310860729)]
Vue进阶(九十二):应用 postMessage 实现窗口通信_vue使用postmessage
最新发布
2401_84411323的博客
05-09 376
其实前端开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。这里再分享一个复习的路线:(以下体系的复习资料是我从各路大佬收集整理好的)《前端开发四大模块核心知识笔记》最后,说个题外话,我在一线互联网企业工作十余年里,指导过不少同行后辈。帮助很多人得到了学习和成长。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】
前端常见跨域解决方案(2)
2301_79098873的博客
05-08 686
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
前端postMessage跨域通讯
weixin_45966674的博客
09-17 445
然后数据回传就比较简单了 你直接在项目2 中也写一个iframe 套项目1的地址 然后把这个iframe 隐藏起来就好了 然后项目1也写一个window.addEventListener message 接收项目2发来的数据就好了。然后我们在 项目1的输入中输入内容 控制台会输出内容 那么问题是 我们怎么把这个信息给到项目2呢?我们改写项目1 的 App.vue中的 oninput方法 参考代码如下。此时 我们在 项目1中输入内容 项目2的message就可以监听得到。
前端解决跨域问题的N种方法之postMessage
weixin_34107955的博客
10-11 239
平时会不会有一个需求是 我在打开不同域网站的时候 要把我的某个变量数据传递过去 方法有很多很多种 今天介绍下postMessage H5 postMessage 语法 otherWindow.postMessage(message, targetOrigin); otherWindow 其他窗口的一个引用,比如iframe的conte...
前端跨域-postMessage跨域
qq_41801117的博客
06-25 351
postMessage跨域:属于一种以前用的跨域手段,其是结合iframe标签来使用。 具体实现 我们需要准备2个html文件 A.html <iframe id="ifr" src="http://localhost:5001/public/B.html" style="display: none;" frameborder="0"></iframe> <script> var ifr = document.getElementById('if
vue路由传参的两种方式,实现返回上个页面不刷新
anny_mei的博客
07-17 9919
我的项目是当在新增页面(下面叫A页面)先提交一些数据,然后跳转到下一个页面(下面叫B页面)再填写数据,然后返回到新增的页面 之前我直接跳转回B页面goback(),这样的话跳转回来A页面就什么数据都没有了 解决方法有两种,一种是在地址栏里面拿参数 this.$router.push({ name:'xxxxxxxxx', // 跳转的页面名称 params:{ id:this.id || "xxxxxxxxxx" } }) 在
html5 postMessage前端跨域前端监听的方法示例
12-13
【HTML5 `postMessage` 前端跨域与监听方法详解】 在现代Web开发中,前端跨域问题时常出现,特别是在实现单点登录(Single Sign-On, SSO)等需求时。`postMessage` API 和 `onstorage` 事件监听是解决这类问题的...
web开发教程之跨域的解决方案详解
09-24
使用服务器端的代理,将前端的请求转发到目标服务器,这样前端请求的目标实际上是同一个源,避免了跨域问题。 6. **WebSocket跨域** WebSocket协议支持跨域,只需在建立连接时服务器返回正确的`Sec-WebSocket-...
解决前端跨域问题方案汇总
09-01
- **postMessage API**:利用window.postMessage方法,可以在不同源的窗口之间传递信息,包括iframe、弹出窗口或窗口的父子关系。 总结来说,解决前端跨域问题的关键在于绕过或利用浏览器的同源策略,通过各种技术...
「JavaScript」JS四种跨域方式详解
04-04
本文将详细介绍四种主要的JavaScript跨域方式:JSONP、修改`document.domain`、使用`window.name`以及HTML5的`window.postMessage`。 ### 1. JSONP(JSON with Padding) JSONP是一种解决跨域问题的早期方法,它利用...
iframe跨域通信封装详解
09-03
这个封装方案利用了JavaScript的事件监听和发布机制,以及`window.postMessage`(现代浏览器)或者`hash`改变(旧版浏览器)来实现跨域通信。这种通信方式可以避免同源策略的限制,为`top`页面与`iframe`页面之间的...
postMessage前端跨域前端监听
weixin_34375054的博客
10-31 431
有时候会遇到傻X需求,比如前端单点登陆!遇到需求,就要去想解决办法, 这里我给大家做一个简单的前端单点登陆的解决方案, 用到的就是postMessage跨域信息传输以及onstorage的监听。 本文用到的知识点 koa架设静态资源服务、跨域postMessage的用法 、onstorage监听storage 第一步、架设两个不同端口...
postMessage解决前端跨域问题
YLXB2的博客
12-17 853
我遇到的跨域问题:iframe的父子窗口传递数据和方法调用无效; 解决方案:postMessagepostMessage:html5引入的API,postMessage()方法允许来自不同源的脚本采用异步方式进行有效的通信,可以实现跨文本文档,多窗口,跨域消息传递.多用于窗口间数据通信,这也使它成为跨域通信的一种有效的解决方案; 父窗口传递数据给子窗口,并调用子窗口的method: 子窗口传递数据给父窗口,并调用父窗口的method: 跨域请求的返回(父子页面都通用): ...
Html跨域js封装,前端页面跨域js,postMessage实现跨域
蕃薯耀的博客
08-05 214
Html跨域js封装,前端页面跨域js,postMessage实现跨域 ================================ ©Copyright 蕃薯耀 2020-08-05 https://www.cnblogs.com/fanshuyao/ 一、js文件: crossOrigin.js: /** * 跨域js * 使用postMessage实现html页面的js跨域调用 ...
html5的postmessage实现js前端跨域访问及调用解决方案
争做优秀java技术博客!
06-16 1万+
关于跨域访问,使用JSONP的方法,我前面已经demo过了,具体见http://supercharles888.blog.51cto.com/609344/856886,HTML5提供了一个非常强大的API,叫postMessage,它其实就是以前iframe的进化版本,使用起来极其方便,这里举个实验例子: 我们依旧按照与上文相同的设定,假定我们有2个Domain Domain1: h
学习postMessage
dzqxwzoe的博客
02-14 871
本文主要介绍postMessgae的基本使用,它主要用来解决跨域的页面通讯,当然你可以用来作为跨页面的常规方案。
完美解决移动端video视频层级问题
热门推荐
风萧萧兮易水寒
06-14 3万+
H5页面视频播放的问题相信曾经让很多同学崩溃,video标签的层级问题始终无法得到完美的解决方案。 这次的需求是这样的:在浏览器中扫码打开一个H5页面,要将一个视频当成背景图片来播放(gif太大,所以不用) 通过给video标签设置postion z-index等属性,明显是不可行的。 方案1: <video id="video-ios" src="./ceshi.mp4" web...
postmessage跨域
12-08
postMessage方法可以用于实现跨域通信。它可以在不同的窗口(包括iframe窗口)之间传递数据,即使这些窗口来自不同的域名。具体来说,postMessage方法可以向目标窗口发送消息,并在目标窗口的onmessage事件中接收消息。在发送消息时,需要指定目标窗口的URL,以确保只有目标窗口可以接收到消息。在接收消息时,需要检查消息来源是否可信,以防止恶意代码的攻击。下面是一个postMessage方法的示例: ```javascript // 发送消息 var targetWindow = window.parent; // 目标窗口为父窗口 var message = "Hello, parent window!"; // 要发送的消息 var targetOrigin = "http://parent.window.com"; // 目标窗口的URL targetWindow.postMessage(message, targetOrigin); // 接收消息 window.addEventListener("message", function(event) { if (event.origin !== "http://child.window.com") return; // 检查消息来源是否可信 var message = event.data; // 接收到的消息 console.log("Received message: " + message); }); ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值