閱讀(1.4k) 書簽贊(0) 我要糾錯

JavaScript 跨域通訊

2021-06-01 09:44 更新

1.5.1【必須】使用安全的前端跨域通信方式

具有隔離登錄態(tài)（如：p_skey）、涉及用戶高敏感信息的業(yè)務（如：微信網頁版、QQ空間、QQ郵箱、公眾平臺），禁止通過document.domain降域，實現(xiàn)前端跨域通訊，應使用postMessage替代。

1.5.2【必須】使用postMessage應限定Origin

在message事件監(jiān)聽回調中，應先使用event.origin校驗來源，再執(zhí)行具體操作。

校驗來源時，應使用===判斷，禁止使用indexOf()

// bad: 使用indexOf校驗Origin值
window.addEventListener("message", (e) => {
    if (~e.origin.indexOf("https://a.qq.com")) {
    // ...
    } else {
    // ...
    }
});


// good: 使用postMessage時，限定Origin，且使用===判斷
window.addEventListener("message", (e) => {
    if (e.origin === "https://a.qq.com") {
    // ...
    }
});

以上內容是否對您有幫助：

← JavaScript JSON 解析/動態(tài)執(zhí)行

JavaScript 配置&環(huán)境 →

寫筆記

我要補充