在IFrame中使用postMessage跨域

我們?cè)谇岸隧?yè)面開發(fā)中,常常會(huì)用到iframe。
而且我們?cè)谑褂胕frame的時(shí)候,大多數(shù)情況下不單單只是為了顯示頁(yè)面,還要與父窗口進(jìn)行交互,這時(shí)候就出現(xiàn)了跨域問題,iframe頁(yè)面并不能直接操作父窗口的元素。
我們可以使用html5的postMessage()解決這個(gè)問題。

一、什么是跨域

跨域,指的是瀏覽器不能執(zhí)行其他網(wǎng)站的腳本。它是由瀏覽器的同源策略造成的,是瀏覽器施加的安全限制。所謂同源是指相同的域名、協(xié)議和端口,只要其中一項(xiàng)不同就為跨域。
舉幾個(gè)例子:

  1. http://a.123.com/index.htmlhttp://a.123.com/index.js非跨域,它們有相同的域名,協(xié)議和端口。
  2. http://a.123.com/index.htmlhttp://b.123.com/index.js跨域,相同的端口、協(xié)議,但是域名不同(a.123.comb.123.com)。
  3. http://a.123.com:8080/index.htmlhttp://a.123.com:8081/index.js跨域,相同的域名、協(xié)議,但是端口不同(8080和8081)。
  4. http://a.123.com/index.htmlhttps://a.123.com/index.js跨域跨域,相同的域名、端口,但是協(xié)議不同(http和https)。

二、postMessage()基本用法

【發(fā)送消息】

otherWindow.postMessage(message, targetOrigin, [transfer])
  • otherWindow
    其他窗口的一個(gè)引用,寫的是你要通信的window對(duì)象。
    例如在iframe中向父窗口傳遞數(shù)據(jù)時(shí),可以寫成window.parent.postMessage(),window.parent表示父窗口。
  • message
    需要傳遞的數(shù)據(jù),字符串或者對(duì)象都可以。
  • targetOrigin
    表示目標(biāo)窗口的源,協(xié)議+域名+端口號(hào),如果設(shè)置為“*”,則表示可以傳遞給任意窗口。在發(fā)送消息的時(shí)候,如果目標(biāo)窗口的協(xié)議、域名或端口這三者的任意一項(xiàng)不匹配targetOrigin提供的值,那么消息就不會(huì)被發(fā)送;只有三者完全匹配,消息才會(huì)被發(fā)送。例如:
window.parent.postMessage('hello world','http://a.123.com:8080/index.html')

只有父窗口是http://a.123.com:8080時(shí)才會(huì)接受到傳遞的消息。

  • [transfer]
    可選參數(shù)。是一串和message 同時(shí)傳遞的 Transferable 對(duì)象,這些對(duì)象的所有權(quán)將被轉(zhuǎn)移給消息的接收方,而發(fā)送一方將不再保有所有權(quán)。我們一般很少用到。

【接收消息】

window.addEventListener('message', function (e) {
    console.log(e.data)  //e.data為傳遞過來的數(shù)據(jù)
    console.log(e.origin)  //e.origin為調(diào)用 postMessage 時(shí)消息發(fā)送方窗口的 origin(域名、協(xié)議和端口)
    console.log(e.source)  //e.source為對(duì)發(fā)送消息的窗口對(duì)象的引用,可以使用此來在具有不同origin的兩個(gè)窗口之間建立雙向通信
})

三、iframe與父窗口交互數(shù)據(jù)例子

iframe傳遞關(guān)閉命令

父窗口接收到命令將iframe關(guān)閉

四、安全問題

  1. 如果你不希望從其他網(wǎng)站接收message,請(qǐng)不要為message事件添加任何事件監(jiān)聽。
  2. 如果你確實(shí)希望從其他網(wǎng)站接收message,請(qǐng)始終使用origin和source屬性驗(yàn)證發(fā)件人的身份。任何窗口都可以向任何其他窗口發(fā)送消息,并且你不能保證未知發(fā)件人不會(huì)發(fā)送惡意消息。而且在驗(yàn)證身份后,你仍然應(yīng)該驗(yàn)證接收到的消息的語(yǔ)法,防止非法攻擊(例如SQL注入)。
  3. 使用postMessage將數(shù)據(jù)發(fā)送到其他窗口時(shí),應(yīng)該指定精確的目標(biāo)origin,而不是*。惡意網(wǎng)站可以在你不知情的情況下更改窗口的位置,因此它可以攔截使用postMessage發(fā)送的數(shù)據(jù)。

五、兼容性

  1. IE6,IE7不支持。
  2. IE8+雖然支持postMessage,但只支持iframe的方式,window.open打開的新窗口之間,沒法用。直到IE10才有相關(guān)改進(jìn)。
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • 我們?cè)谇岸隧?yè)面開發(fā)中,常常會(huì)用到iframe。而且我們?cè)谑褂胕frame的時(shí)候,大多數(shù)情況下不單單只是為了顯示頁(yè)面...
    壯哉我大前端閱讀 3,983評(píng)論 0 0
  • 1. 什么是跨域? 跨域一詞從字面意思看,就是跨域名嘛,但實(shí)際上跨域的范圍絕對(duì)不止那么狹隘。具體概念如下:只要協(xié)議...
    w_zhuan閱讀 620評(píng)論 0 0
  • 來吧,少年,今天還能看文章學(xué)習(xí)的,一多半都是單身貴族,看朋友圈還會(huì)被虐,不如學(xué)習(xí),上街還會(huì)被虐,不如學(xué)習(xí),痛并快樂...
    范小飯_閱讀 8,158評(píng)論 3 24
  • 什么是跨域 跨域,是指瀏覽器不能執(zhí)行其他網(wǎng)站的腳本。它是由瀏覽器的同源策略造成的,是瀏覽器對(duì)JavaScript實(shí)...
    Yaoxue9閱讀 1,407評(píng)論 0 6
  • —— 每一段路都是一場(chǎng)領(lǐng)悟! 記得這個(gè)MV剛出的時(shí)候,印象沒有那么深刻,只是覺得勵(lì)志,如今再次打開網(wǎng)易...
    thinkgamer閱讀 516評(píng)論 0 0

友情鏈接更多精彩內(nèi)容