HTML5是下一代的Web應(yīng)用,它具有許多新的特性,是一種新興的技術(shù)并且在移動(dòng)應(yīng)用中也有著廣泛的使用����。但也正是因?yàn)樗囊恍┬绿匦缘某霈F(xiàn)以及廣泛的應(yīng)用,使得其安全性非常值得關(guān)注�����。
在本文中����,我們將針對(duì)HTML5 Web消息發(fā)送(跨域消息發(fā)送)的安全性進(jìn)行分析和研究。
跨域消息發(fā)送
在討論這一問(wèn)題之前�����,我們先來(lái)了解下在HTML5中是如何實(shí)現(xiàn)跨域的消息發(fā)送�����。
在HTML5之前���,由于同源策略的限制導(dǎo)致在兩個(gè)窗口之間進(jìn)行消息傳送必須是使用相同的協(xié)議、端口和主機(jī)���。
HTML5有一種新的方法叫做postMessage()����,通過(guò)這一方法�,跨域的消息傳送將不再受到同源策略的限制。
以下是postMessage()的語(yǔ)法:
發(fā)送窗口:
Otherwindows:涉及到的其他窗口
Message:被發(fā)送到接收窗口的信息
targetOrigin:接收窗口必須規(guī)定的URL��。如果沒(méi)有任何特殊偏好����,可以將其規(guī)定為“*”定義“*”為targetOrigin���,但這樣做其實(shí)會(huì)存在一些安全隱患,在后文中我會(huì)提到���。
Transfer:這個(gè)是任意的�����。
接收窗口:
當(dāng)otherWindow.postMessage()執(zhí)行時(shí)�,消息將會(huì)被發(fā)送到接收窗口�����。
發(fā)送方使用以下這段代碼后�����,我們就可以接收到這條消息�����。
通過(guò)該段代碼��,我們可以訪問(wèn)數(shù)據(jù)以及這一信息的源�����。如下所示:
Event.origin:提供信息的源(我們所接收到的信息的URL)
Event.data:提供實(shí)際所發(fā)送出的信息內(nèi)容
安全性實(shí)例分析
出于演示需要����,我設(shè)立了如下兩個(gè)Lab:
A: http://localhost:8383/
B: http://localhost/
正如你所看到的���,上面兩個(gè)URL具有不同的端口����,第一個(gè)運(yùn)行在8383端口��,第二個(gè)則是在80端口�。正是因?yàn)槠湓床煌����,所以才?dǎo)致端口不同。
A是發(fā)送窗口�����,B是接收窗口
現(xiàn)在我們加載第二個(gè)URL(http://localhost/ ;)作為第一個(gè)URL的iframe:
小編推薦閱讀
