目录

跨域请求的安全操作

使用安全的前端跨域通信方式

具有隔离登录态（如：p_skey）、涉及用户高敏感信息的业务（如：微信网页版、QQ空间、QQ邮箱、公众平台），禁止通过document.domain 降域，实现前端跨域通讯，应使用postMessage替代。

使用 postMessage 应限定 Origin

在 message 事件监听回调中，应先使用 event.origin 校验来源，再执行具体操作。
校验来源时，应使用 === 判断，禁止使用 indexOf()

// bad: 使用indexOf校验Origin值
window.addEventListener("message", (e) => {
	if (~e.origin.indexOf("https://a.qq.com")) {
	// ...
	} else {
	// ...
	}
});

// good: 使用postMessage时，限定Origin，且使用===判断
window.addEventListener("message", (e) => {
	if (e.origin === "https://a.qq.com") {
	// ...
	}
});

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15