JavaScript 跨域通訊

1.5.1【必須】使用安全的前端跨域通信方式

• 具有隔離登錄態(tài)（如：p_skey）、涉及用戶高敏感信息的業(yè)務(wù)（如：微信網(wǎng)頁(yè)版、QQ空間、QQ郵箱、公眾平臺(tái)），禁止通過(guò)document.domain降域，實(shí)現(xiàn)前端跨域通訊，應(yīng)使用postMessage替代。

1.5.2【必須】使用postMessage應(yīng)限定Origin

• 在message事件監(jiān)聽(tīng)回調(diào)中，應(yīng)先使用event.origin校驗(yàn)來(lái)源，再執(zhí)行具體操作。

• 校驗(yàn)來(lái)源時(shí)，應(yīng)使用===判斷，禁止使用indexOf()

// bad: 使用indexOf校驗(yàn)Origin值
window.addEventListener("message", (e) => {
    if (~e.origin.indexOf("https://a.qq.com")) {
    // ...
    } else {
    // ...
    }
});


// good: 使用postMessage時(shí)，限定Origin，且使用===判斷
window.addEventListener("message", (e) => {
    if (e.origin === "https://a.qq.com") {
    // ...
    }
});