请教一个关于 HTML5 跨域信息传递(postMessage)安全的问题

2015 年 4 月 7 日
 v2gba
A站通过postMessage向B站传递信息, B站返回内容.
这个过程中, B站除了能拿到A主动传出的信息外,
能否越权获得A站其他信息或者通过JS操纵A站?

具体点比如我用iframe在A站嵌入了B站. 那么会对A产生安全问题吗?
关于HTML5 postMessage大致如下面链接中最后一段所述.

https://github.com/jiangyuan/blog/blob/master/blog/javascript%20的跨域问题.md
2006 次点击
所在节点    问与答
3 条回复
zzNucker
2015 年 4 月 7 日
如果你把B站返回的内容eval一下,不就有安全问题了。。。。
设计是没有问题的,一般是用的人有问题。
v2gba
2015 年 4 月 7 日
@zzNucker
确实发现A如果eval返回内容就出问题..

感谢
yyfearth
2015 年 4 月 7 日
postMessage 安全性很好的 传递的都是string 除非你用eval解析才会出问题
json的话用 JSON.parse 就好了

另外文章里面有些内容已经很老了 document.domain 新一点的浏览器 早就不能改了
貌似 window.name 也已经不可靠了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/182077

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX