window.postMessage安全地实现跨源通信

window.postMessage() 方法可以安全地实现跨源通信。通常，对于两个不同页面的脚本，只有当执行它们的页面位于具有相同的协议（通常为https），端口号（443为https的默认值），以及主机  (两个页面的模数 Document.domain设置为相同的值) 时，这两个脚本才能相互通信。window.postMessage() 方法提供了一种受控机制来规避此限制，只要正确的使用，这种方法就很安全。

从广义上讲，一个窗口可以获得对另一个窗口的引用（比如 targetWindow = window.opener），然后在窗口上调用 targetWindow.postMessage() 方法分发一个  MessageEvent 消息。接收消息的窗口可以根据需要自由处理此事件 (en-US)。传递给 window.postMessage() 的参数（比如 message ）将通过消息事件对象暴露给接收消息的窗口。

otherWindow.postMessage(message, targetOrigin, [transfer]);

例如：vue项目中，调用iframe子网页中的方法 和在iframe子页面中调用vue父页面中的方法。

父页面代码：

<body>
<h1>我是父页面</h1>
<iframe src="http://127.0.0.1:5050" frameborder="0" style="height: 100%; 100%"></iframe>
<script>
function fatherFunction() {
alert('我是父页面中的方法！')
}
window.addEventListener('message', function(e){
console.log(e) //{data:'params'}
fatherFunction()
})
</script>
</body>

子页面代码：

<template>
<div class="weather-app" :class="currentWeatherBG">
<button @click="test">我是子页面按钮，点击调用父页面方法</button>
</div>
</template>
<script>
export default {
methods: {
test() {
window.parent.postMessage({
data :"params"
},'*');
},
}
}
</script>

可以看到，这里关键是子页面通过postMessage方法实现的通信，postMessage的使用方法为：

otherWindow.postMessage(message, targetOrigin, [transfer]);
message为需要传递的信息，
targetOrigin为指定哪些窗口能接收到消息事件，可以为’*’，但是这样很不安全，建议根据实际项目精确匹配。

而父页面则只需要添加事件监听器，在回调中执行需要执行方法或者使用参数。

window.addEventListener('message', function(e){
console.log(e) //{data:'params'}
fatherFunction()
})