【发布时间】:2015-12-18 14:44:41
【问题描述】:
在 postMessage() 方法的 targetOrigin 使用通配符时,我很难理解安全问题。您调用 postMessage() 的窗口不是已经有我们发送数据的来源了吗?怎么会有人干涉呢?使用window.location.origin 将 targetOrigin 设置为窗口的原点会不会很糟糕?
我了解在接收端检查事件来源的重要性(如图所示here),但我似乎无法理解为什么发送端使用通配符作为 targetOrigin 是不好的当窗口已经有一个特定的原点时。
【问题讨论】:
标签: javascript security cross-domain xss postmessage