V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
MrGba2z
V2EX  ›  问与答

请教一个关于 HTML5 跨域信息传递(postMessage)安全的问题

  •  
  •   MrGba2z · 2015-04-07 13:14:54 +08:00 · 1753 次点击
    这是一个创建于 3550 天前的主题,其中的信息可能已经有所发展或是发生改变。
    A站通过postMessage向B站传递信息, B站返回内容.
    这个过程中, B站除了能拿到A主动传出的信息外,
    能否越权获得A站其他信息或者通过JS操纵A站?

    具体点比如我用iframe在A站嵌入了B站. 那么会对A产生安全问题吗?
    关于HTML5 postMessage大致如下面链接中最后一段所述.

    https://github.com/jiangyuan/blog/blob/master/blog/javascript%20的跨域问题.md
    3 条回复    2015-04-07 15:44:41 +08:00
    zzNucker
        1
    zzNucker  
       2015-04-07 14:45:42 +08:00   ❤️ 1
    如果你把B站返回的内容eval一下,不就有安全问题了。。。。
    设计是没有问题的,一般是用的人有问题。
    MrGba2z
        2
    MrGba2z  
    OP
       2015-04-07 14:53:41 +08:00
    @zzNucker
    确实发现A如果eval返回内容就出问题..

    感谢
    yyfearth
        3
    yyfearth  
       2015-04-07 15:44:41 +08:00
    postMessage 安全性很好的 传递的都是string 除非你用eval解析才会出问题
    json的话用 JSON.parse 就好了

    另外文章里面有些内容已经很老了 document.domain 新一点的浏览器 早就不能改了
    貌似 window.name 也已经不可靠了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   6029 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:03 · PVG 10:03 · LAX 18:03 · JFK 21:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.