v2gba
V2EX  ›  问与答

请教一个关于 HTML5 跨域信息传递(postMessage)安全的问题

  •  
  •   v2gba · Apr 7, 2015 · 2144 views
    This topic created in 4116 days ago, the information mentioned may be changed or developed.
    A站通过postMessage向B站传递信息, B站返回内容.
    这个过程中, B站除了能拿到A主动传出的信息外,
    能否越权获得A站其他信息或者通过JS操纵A站?

    具体点比如我用iframe在A站嵌入了B站. 那么会对A产生安全问题吗?
    关于HTML5 postMessage大致如下面链接中最后一段所述.

    https://github.com/jiangyuan/blog/blob/master/blog/javascript%20的跨域问题.md
    3 replies    2015-04-07 15:44:41 +08:00
    zzNucker
        1
    zzNucker  
       Apr 7, 2015   ❤️ 1
    如果你把B站返回的内容eval一下,不就有安全问题了。。。。
    设计是没有问题的,一般是用的人有问题。
    v2gba
        2
    v2gba  
    OP
       Apr 7, 2015
    @zzNucker
    确实发现A如果eval返回内容就出问题..

    感谢
    yyfearth
        3
    yyfearth  
       Apr 7, 2015
    postMessage 安全性很好的 传递的都是string 除非你用eval解析才会出问题
    json的话用 JSON.parse 就好了

    另外文章里面有些内容已经很老了 document.domain 新一点的浏览器 早就不能改了
    貌似 window.name 也已经不可靠了
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3308 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 11:26 · PVG 19:26 · LAX 04:26 · JFK 07:26
    ♥ Do have faith in what you're doing.