JavaScript 跨域通訊

2021-06-01 09:44 更新

1.5.1【必須】使用安全的前端跨域通信方式

  • 具有隔離登錄態(tài)(如:p_skey)、涉及用戶高敏感信息的業(yè)務(wù)(如:微信網(wǎng)頁(yè)版、QQ空間、QQ郵箱、公眾平臺(tái)),禁止通過(guò)document.domain降域,實(shí)現(xiàn)前端跨域通訊,應(yīng)使用postMessage替代。

1.5.2【必須】使用postMessage應(yīng)限定Origin

  • 在message事件監(jiān)聽(tīng)回調(diào)中,應(yīng)先使用event.origin校驗(yàn)來(lái)源,再執(zhí)行具體操作。

  • 校驗(yàn)來(lái)源時(shí),應(yīng)使用===判斷,禁止使用indexOf()

  1. // bad: 使用indexOf校驗(yàn)Origin值
  2. window.addEventListener("message", (e) => {
  3.     if (~e.origin.indexOf("https://a.qq.com")) {
  4.     // ...
  5.     } else {
  6.     // ...
  7.     }
  8. });
  11. // good: 使用postMessage時(shí),限定Origin,且使用===判斷
  12. window.addEventListener("message", (e) => {
  13.     if (e.origin === "https://a.qq.com") {
  14.     // ...
  15.     }
  16. });
以上內(nèi)容是否對(duì)您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號(hào)
微信公眾號(hào)

編程獅公眾號(hào)