不严格的同源策略—跨文档消息
前言
以前在 同源策略中提过3种不严格的同源策略,今天就来细说其中的一种—跨文档消息。
跨文档消息
浏览器允许不同文档之间传递消息,而不管其源是否相同。假如现在这里有两个窗口,窗口a和窗口b,它们现在是不同源的。此时a可以调用postMessage方法传递消息时间,b可以调用onmessage方法来接收,虽然此时a和b还是不能互相访问,但是也可以实现安全的消息通讯了。
步骤
1.首先打开一个窗口(https://www.bilibili.com/)要注意这里的url别被代理了,比如打开http://baidu.com,会被代理到https://baidu.com,这个时候协议和端口都改变了,到后面的步骤源肯定就不一样。
2.使用window.open打开一个新窗口(https://www.baidu.com),并加上onmessage的监听方法。
let URL = 'https://www.baidu.com';
let target = window.open(URL);
window.onmessage = (e)=>{
if(null != e){
if(null != e.origin && e.origin == 'https://www.baidu.com'){
let data = e.data;
alert(data);
}
}
}
3.在打开的新窗口加上onmessage的监听方法并判断消息的来源,发现消息来源正确后再发送收到消息的指令。
window.addEventListener('message',(e)=>{
if(null != e){
if(null != e.origin && e.origin == 'https://www.bilibili.com'){
let source = e.source;
let data = e.data;
source.postMessage('收到信息,内容是:'+data,e.origin);
}
}
})
4.在第一个窗口(https://www.bilibili.com/)发送消息。
target.postMessage('这是发送的信息',URL);
5.如果到此时步骤全部正确,第一个窗口(https://www.bilibili.com/)会出现弹框。
按照1~5的步骤,最终的流程图应该是这样的:
窗口A打开了窗口B,窗口B调用了onmessage监听了origin,如果来源正确就会调用postMessage发送消息给发消息给自己的这条消息的来源(也就是窗口A),窗口A也调用了onmessage监听了origin,如果正确就弹框(这一步在流程图中没表现出来),所以窗口A调用了postMessage方法向窗口B发送消息的时候就产生了链式反应。