使用postMessage怎么实现iframe跨域

今天就跟大家聊聊有关使用postMessage怎么实现iframe跨域，可能很多人都不太了解，为了让大家更加了解，小编给大家总结了以下内容，希望大家根据这篇文章可以有所收获。

postMessage是什么

此处引用MDN关于postMessage的详细说明。简而言之就是：postMessage是挂载在window下的一个方法，用于不同域名下的两个页面的信息交互，父子页面通过postMessage（）发送消息，再通过监听message事件接收信息。

postMessage使用

假设有一个父页面indexPage.html, 子页面iframePage.html

一、父页面向子页面发送消息

// 父页面index.html//获取iframe元素iFrame = document.getElementById('iframe')//iframe加载完毕后再发送消息，否则子页面接收不到messageiFrame.onload = function(){//iframe加载完立即发送一条消息iFrame.contentWindow.postMessage({msg: 'MessageFromIndexPage'},'\*');}

iFrame.contentWindow.postMessage('MessageFromIndexPage','b.com')

方法的第一个参数是发送的消息，无格式要求；第二个参数是域名限制，当不限制域名时填写* ，第三个可选参数transfer一般不填，这个参数有严重的浏览器兼容问题。

二、子页面接收父页面发送的消息

// 子页面iframePage.html//监听message事件window.addEventListener("message", function(event){console.log( '这里是接收到来自父页面的消息，消息内容在event.data属性中', event )}, false)

三、子页面给父页面传递消息

window.parent.postMessage({name: '张三'}, '\*');

方法的第一个参数是发送的消息，目前可无格式要求， 在 Gecko 6.0 (Firefox 6.0 / Thunderbird 6.0 / SeaMonkey 2.3)之前， 参数 message 必须是一个字符串；第二个参数是域名限制，当不限制域名时填写’*‘

四、父页面接收子页面的消息

//监听message事件window.addEventListener("message", function receiveMessageFromIframePage (event) {console.log('这里是子页面发送来的消息，消息内容在event.data属性中', event)}, false);

postMessage的安全问题

使用postMessage交互，默认就是允许跨域行为，一旦允许跨域，就会有一些安全问题，针对postMessage主要有两种攻击方式。一是伪造数据发送方（父页面），易造成数据接收方（子页面）受到XSS攻击或其他安全问题；二是伪造数据接收方，类似jsonp劫持。

一、伪造数据发送方

攻击方式：伪造一个父页面，引导使用者触发功能，发送消息给子页面，如果子页面将父页面发送的消息直接插入当前文档流，就是引发XSS攻击，或者子页面使用父页面传递的消息进行其他操作，例如写入数据，造成安全问题。

防范方式：子页面iframe对接收到的message信息做域名限制

// 子页面iframePage.html//监听message事件window.addEventListener("message", function(event){origin = event.origin || event.originalEvent.originif(origin == 'https://A.com'){console.log( '这里是接收到来自父页面的消息，消息内容在event.data属性中', event )}}, false)

二、伪造数据接收方

攻击方式：伪造一个子页面，在父页面中引入子页面，在伪造的页面中接收父页面发送的消息，此时可以获取用户的敏感消息。

防范方式：父页面对发送消息的页面做域名限制

// 父页面index.html//获取iframe元素iFrame = document.getElementById('iframe')//iframe加载完毕后再发送消息，否则子页面接收不到messageiFrame.onload = function(){//iframe加载完立即发送一条消息iFrame.contentWindow.postMessage('MessageFromIndexPage','https://B.com');}

看完上述内容，你们对使用postMessage怎么实现iframe跨域有进一步的了解吗？如果还想了解更多知识或者相关内容，请关注编程网行业资讯频道，感谢大家的支持。