window.postMessage() 方法可以安全地实现跨源通信。通常,对于两个不同页面的脚本,只有当执行它们的页面位于具有相同的协议(通常为https),
端口号(443为https的默认值),以及主机 (两个页面的模数 Document.domain设置为相同的值) 时,这两个脚本才能相互通信。window.postMessage()
方法提供了一种受控机制来规避此限制,只要正确的使用,这种方法就很安全.
otherWindow.postMessage(message, targetOrigin, [transfer]);
otherWindow:
其他窗口的一个引用,比如iframe的contentWindow属性、执行window.open返回的窗口对象、或者是命名过或数值索引的window.frames。
- Window.open
- Window.opener
- HTMLIFrameElement.contentWindow(父窗体向子窗体发送消息)
- Window.parent(子窗体向父窗体发送消息)
- Window.frames +索引值
message:
将要发送到其他 window的数据。它将会被结构化克隆算法序列化。这意味着你可以不受什么限制的将数据对象安全的传送给目标窗口而无需自己序列化。
targetOrigin:
通过窗口的origin属性来指定哪些窗口能接收到消息事件,其值可以是字符串"*"(表示无限制)或者一个URI。在发送消息的时候,如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配targetOrigin提供的值,那么消息就不会被发送;只有三者完全匹配,消息才会被发送。这个机制用来控制消息可以发送到哪些窗口;例如,当用postMessage传送密码时,这个参数就显得尤为重要,必须保证它的值与这条包含密码的信息的预期接受者的origin属性完全一致,来防止密码被恶意的第三方截获。如果你明确的知道消息应该发送到哪个窗口,那么请始终提供一个有确切值的targetOrigin,而不是*。不提供确切的目标将导致数据泄露到任何对数据感兴趣的恶意站点。
transfer :
可选是一串和message 同时传递的 Transferable 对象. 这些对象的所有权将被转移给消息的接收方,而发送一方将不再保有所有权。
window.addEventListener("message",function (event){//do something, false);
示例:
A页面中包含一个iframe,iframe加载B页面(父窗体与子窗体通信)
A页面代码:
window.addEventListener('message', function(e) {
if (e.data.test=="Test") {
alert(e.data.test);
}
}, false);
B页面代码: btnClick: function (o, e) {
window.parent.postMessage({ test: "Test"}, "*");
//{ test: "Test" }为data属性,"*" 为origin属性
}
A页面中包含一个iframe,iframe加载B页面(子窗体与父窗体通信)
A页面代码:
function btnClick(o, e) {
document.getElementById("iframeContent").contentWindow.postMessage({ test: "Test"});
};
B页面代码:
window.addEventListener('message', function(e) {
if (e.data.test=="Test") {
alert(e.data.test);
}
}, false);