您现在的位置是:网站首页> 编程资料编程资料
关于iframe跨域使用postMessage的实现HTML5 window/iframe跨域传递消息 API介绍Iframe 高度自适应(兼容IE/Firefox、同域/跨域)
2021-08-31
1051人已围观
简介 这篇文章主要介绍了关于iframe跨域使用postMessage的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
当我们要在域名A.com下使用一个域名B.com提供的页面服务,直觉想到的实现方式就是使用iframe。但是iframe直接的交互存在**跨域问题**,目前看来解决方式有两种。一是使用nginx代理转发,在域名A的nginx上配置指定的转发规则,直接指向域名B,直接干掉了跨域;另一种方式是使用postMessage方法。此处针对第二种方式,看下使用方式和可能的问题。
postMessage是什么
此处引用MDN关于postMessage的详细说明。简而言之就是:postMessage是挂载在window下的一个方法,用于不同域名下的两个页面的信息交互,父子页面通过postMessage()发送消息,再通过监听message事件接收信息。
postMessage使用
假设有一个父页面indexPage.html, 子页面iframePage.html
一、父页面向子页面发送消息
// 父页面index.html //获取iframe元素 iFrame = document.getElementById('iframe') //iframe加载完毕后再发送消息,否则子页面接收不到message iFrame.onload = function(){ //iframe加载完立即发送一条消息 iFrame.contentWindow.postMessage({msg: 'MessageFromIndexPage'},'\*'); } iFrame.contentWindow.postMessage('MessageFromIndexPage','b.com')
方法的第一个参数是发送的消息,无格式要求;第二个参数是域名限制,当不限制域名时填写* ,第三个可选参数transfer一般不填,这个参数有严重的浏览器兼容问题。
二、子页面接收父页面发送的消息
// 子页面iframePage.html //监听message事件 window.addEventListener("message", function(event){ console.log( '这里是接收到来自父页面的消息,消息内容在event.data属性中', event ) }, false) 三、子页面给父页面传递消息
window.parent.postMessage({name: '张三'}, '\*');方法的第一个参数是发送的消息,目前可无格式要求, 在 Gecko 6.0 (Firefox 6.0 / Thunderbird 6.0 / SeaMonkey 2.3)之前, 参数 message 必须是一个字符串;第二个参数是域名限制,当不限制域名时填写’*‘
四、父页面接收子页面的消息
//监听message事件 window.addEventListener("message", function receiveMessageFromIframePage (event) { console.log('这里是子页面发送来的消息,消息内容在event.data属性中', event) }, false); postMessage的安全问题
使用postMessage交互,默认就是允许跨域行为,一旦允许跨域,就会有一些安全问题,针对postMessage主要有两种攻击方式。一是伪造数据发送方(父页面),易造成数据接收方(子页面)受到XSS攻击或其他安全问题;二是伪造数据接收方,类似jsonp劫持。
一、伪造数据发送方
攻击方式:伪造一个父页面,引导使用者触发功能,发送消息给子页面,如果子页面将父页面发送的消息直接插入当前文档流,就是引发XSS攻击,或者子页面使用父页面传递的消息进行其他操作,例如写入数据,造成安全问题。
防范方式:子页面iframe对接收到的message信息做域名限制
// 子页面iframePage.html //监听message事件 window.addEventListener("message", function(event){ origin = event.origin || event.originalEvent.origin if(origin == 'https://A.com'){ console.log( '这里是接收到来自父页面的消息,消息内容在event.data属性中', event ) } }, false) 二、伪造数据接收方
攻击方式:伪造一个子页面,在父页面中引入子页面,在伪造的页面中接收父页面发送的消息,此时可以获取用户的敏感消息。
防范方式:父页面对发送消息的页面做域名限制
// 父页面index.html //获取iframe元素 iFrame = document.getElementById('iframe') //iframe加载完毕后再发送消息,否则子页面接收不到message iFrame.onload = function(){ //iframe加载完立即发送一条消息 iFrame.contentWindow.postMessage('MessageFromIndexPage','https://B.com'); } 以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
相关内容
- 使用canvas生成含有微信头像的邀请海报没有微信头像问题微信小程序之html5 canvas绘图并保存到系统相册详解html5 canvas 微信海报分享(个人爬坑)HTML5+Canvas实现飞机加速减速特效源码html5 canvas合成海报所遇问题及解决方案总结HTML5 Canvas微信运动折线图特效源码HTML5+canvas实现微信朋友圈发红包照片特效源码
- Html5与App的通讯方式详解详解HTML5通讯录获取指定多个人的信息 html5跨域通讯之postMessage的用法总结
- html+js 实现markdown编辑器效果HTML5高仿微信聊天、微信聊天表情|对话框|编辑器功能html5使用Drag事件编辑器拖拽上传图片的示例代码基于HTML5新特性Mutation Observer实现编辑器的撤销和回退操作
- 高清屏下canvas重置尺寸引发的问题的解决浅析canvas元素的html尺寸和css尺寸对元素视觉的影响html5中canvas学习笔记1-画板的尺寸与实际显示尺寸
- HTML table 表格边框的实现思路html中table表格的内容水平和垂直居中显示详解HTML中table表格的frame和rules属性Div+CSS对HTML的table表格定位用法实例深入解析HTML的table表格标签与相关的换行问题html 隐藏div HTML里隐藏表格TABLE或者DIV内容的css样式HTML table表格边框的控制详细说明HTML的dl、dt、dd标记制作表格对决Table制作表
- Html5自定义字体解决方法html5 canvas绘制网络字体的常用方法使用HTML5 Canvas API控制字体的显示与渲染的方法HTML5时代CSS设置漂亮字体取代图片
- webView加载html图片遇到的问题解决HTML5 图片预加载的示例代码利用简洁的图片预加载组件提升html5移动页面的用户体验 html5实现的页面滚动图片动画加载特效源码HTML5实现的图片无限加载的瀑布流效果另带边框圆角阴影基于HTML代码实现图片碎片化加载功能
- 使用postMessage让 iframe自适应高度的方法示例web响应式布局中iframe自适应的方法iframe 多层嵌套 无限嵌套 高度自适应的解决方案网页设计技巧:iframe自适应高度的问题iframe标签用法详解(属性、透明、自适应高度)三谈Iframe自适应高度代码Iframe 高度自适应(兼容IE/Firefox、同域/跨域)iframe 自适应大小实现代码
- 基于 HTML5 WebGL 实现的医疗物流系统HTML5播放实现rtmp流直播html5用video标签流式加载的实现Html5 实现微信分享及自定义内容的流程HTML5 canvas 瀑布流文字效果的示例代码HTML5移动端手机网站开发流程HTML5实现的图片无限加载的瀑布流效果另带边框圆角阴影HTML5梦幻之旅——炫丽的流星雨效果实现过程HTML5 离线应用之打造零请求、无流量网站的解决方法Html5之webcoekt播放JPEG图片流
- html2canvas生成清晰的图片实现打印的示例代码html2 canvas生成清晰的图片实现打印功能前端实现打印图像功能一个不错的html 打印代码支持翻页CSS2 打印属性让打印HTML文档不出问题将XHTML CSS页面转换为打印机页面将XHTML CSS页面转换为打印机页面html 打印相关操作与实现详解
