JavaScript 跨域通讯
2021-06-01 09:44 更新
1.5.1【必须】使用安全的前端跨域通信方式
- 具有隔离登录态(如:p_skey)、涉及用户高敏感信息的业务(如:微信网页版、QQ空间、QQ邮箱、公众平台),禁止通过
document.domain降域,实现前端跨域通讯,应使用postMessage替代。
1.5.2【必须】使用postMessage应限定Origin
- 在message事件监听回调中,应先使用
event.origin校验来源,再执行具体操作。
- 校验来源时,应使用
===判断,禁止使用indexOf()
// bad: 使用indexOf校验Origin值window.addEventListener("message", (e) => { if (~e.origin.indexOf("https://a.qq.com")) { // ... } else { // ... }});// good: 使用postMessage时,限定Origin,且使用===判断window.addEventListener("message", (e) => { if (e.origin === "https://a.qq.com") { // ... }});
以上内容是否对您有帮助:
更多建议: