阅读(1.3k) 书签赞(0) 我要纠错

JavaScript 跨域通讯

2021-06-01 09:44 更新

1.5.1【必须】使用安全的前端跨域通信方式

具有隔离登录态（如：p_skey）、涉及用户高敏感信息的业务（如：微信网页版、QQ空间、QQ邮箱、公众平台），禁止通过document.domain降域，实现前端跨域通讯，应使用postMessage替代。

1.5.2【必须】使用postMessage应限定Origin

在message事件监听回调中，应先使用event.origin校验来源，再执行具体操作。

校验来源时，应使用===判断，禁止使用indexOf()

// bad: 使用indexOf校验Origin值
window.addEventListener("message", (e) => {
    if (~e.origin.indexOf("https://a.qq.com")) {
    // ...
    } else {
    // ...
    }
});


// good: 使用postMessage时，限定Origin，且使用===判断
window.addEventListener("message", (e) => {
    if (e.origin === "https://a.qq.com") {
    // ...
    }
});

以上内容是否对您有帮助：

← JavaScript JSON 解析/动态执行

JavaScript 配置&环境 →

写笔记

我要补充