父窗口是否可以访问从父窗口子iframe打开的弹出窗口发送的消息?

时间:2017-09-29 08:05:10

标签: javascript security authentication iframe google-chrome-extension

上下文

我正在使用一个将iframe附加到网站的WebExtension(目前仅适用于Chrome)。父窗口可以是我的用户可以访问的任何网站。 iframe的来源是本地扩展网址(例如chrome-extension://aioneahjkkfbncifpekfheecjplgheru/widget/index.html)。

我想进行社交认证(Facebook,Twitter,Google)。这就是为什么我需要从该子iframe打开一个弹出窗口,该窗口将对用户进行身份验证,并使用postMessage将回调身份验证令牌发送回iframe。

问题

包含iframe的父窗口是否可以拦截该登录令牌?

我最担心的是,每当我的用户:(1)访问该网站时,有人会恶意创建一个拦截身份验证令牌的网站,(2)使用我的扩展程序将iframe注入该网站,(3)使用社会认证从该iframe登录。

视觉表现

Can I Haz Tokenz?

0 个答案:

没有答案