外观风格
跨域请求的安全操作
使用安全的前端跨域通信方式
具有隔离登录态(如:p_skey)、涉及用户高敏感信息的业务(如:微信网页版、QQ空间、QQ邮箱、公众平台),禁止通过document.domain 降域,实现前端跨域通讯,应使用postMessage替代。
使用 postMessage 应限定 Origin
在 message 事件监听回调中,应先使用 event.origin 校验来源,再执行具体操作。
校验来源时,应使用
===
判断,禁止使用 indexOf()
// bad: 使用indexOf校验Origin值
window.addEventListener("message", (e) => {
if (~e.origin.indexOf("https://a.qq.com")) {
// ...
} else {
// ...
}
});
// good: 使用postMessage时,限定Origin,且使用===判断
window.addEventListener("message", (e) => {
if (e.origin === "https://a.qq.com") {
// ...
}
});
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
2
3
4
5
6
7
8
9
10
11
12
13
14
15