当使用通配符作为postMessage()方法的targetOrigin时,我很难理解安全问题。你调用postMessage()的窗口是否已经有我们发送数据的原点?怎么会有人干涉?使用window.location.origin
将targetOrigin设置为窗口的原点是不是很糟糕?
我理解在接收端检查事件来源的重要性(如图here所示),但我似乎无法理解为什么发送端使用当窗口已经具有特定原点时,通配符作为targetOrigin。
答案 0 :(得分:5)
这本身并不存在风险。这只是意味着任何人可以将您的内容嵌入到框架中并阅读您通过API发送的消息。如果信息可以安全地信任任何人,那就没问题。如果您的网站,访问者和特定合作伙伴网站之间的数据应该保密,那么您应该对您信任的消息内容更加谨慎。
明确授予请求来自的任何来源的权限与使用' *'实际上相同。如果数据需要保密,则应过滤原始白名单。