postMessage()方法

window.postMessage()方法安全地啟用Window對(duì)象之間的跨源通信剂跟；例如业扒，在頁(yè)面和它產(chǎn)生的彈出窗口之間检吆，或者在頁(yè)面和嵌入其中的iframe之間。
通常程储，當(dāng)且僅當(dāng)它們?cè)醋缘捻?yè)面共享相同的協(xié)議蹭沛、端口號(hào)和主機(jī)（也稱為“同源策略”）時(shí)，允許不同頁(yè)面上的腳本相互訪問(wèn)章鲤。window.postMessage()提供一種受控制的機(jī)制來(lái)安全地規(guī)避這種限制（如果使用得當(dāng)）摊灭。
從廣義上講，一個(gè)窗口可以獲得對(duì)另一個(gè)窗口的引用（例如败徊，可以使用targetWindow=window.opener）帚呼，然后使用targetWindow.postMessage() 在其上發(fā)送一個(gè)MessageEvent。然后，接收窗口可根據(jù)需要自由處理此事件煤杀。傳遞給window.postMessage()的參數(shù)（即“message”）通過(guò)事件對(duì)象暴露給接收窗口眷蜈。
postMessage()方法語(yǔ)法如下：

targetWindow .postMessage（message，targetOrigin沈自，[ transfer ]）;

targetWindow
對(duì)將接收消息的窗口的引用酌儒。獲得此類引用的方法包括：

• Window.open （生成一個(gè)新窗口然后引用它）。
• Window.opener （引用產(chǎn)生這個(gè)的窗口）枯途。
• HTMLIFrameElement.contentWindow（<iframe>從其父窗口引用嵌入式）忌怎。
• Window.parent（從嵌入式內(nèi)部引用父窗口<iframe>）。
• Window.frames +索引值（命名或數(shù)字）柔袁。

message
要發(fā)送到其他窗口的數(shù)據(jù)呆躲。使用結(jié)構(gòu)化克隆算法序列化數(shù)據(jù)。這意味著您可以將各種各樣的數(shù)據(jù)對(duì)象安全地傳遞到目標(biāo)窗口捶索，而無(wú)需自己序列化。
targetOrigin
指定要調(diào)度的事件的targetWindow的原點(diǎn)灰瞻，可以是文字字符串"*"（表示沒有首選項(xiàng)）腥例，也可以是URI。如果在計(jì)劃調(diào)度事件時(shí)酝润，targetWindow文檔的方案燎竖，主機(jī)名或端口與targetOrigin提供的內(nèi)容不匹配，則不會(huì)調(diào)度該事件要销；只有當(dāng)所有的三個(gè)條件都匹配時(shí)构回，將調(diào)度該事件。該機(jī)制可以控制發(fā)送消息的位置疏咐。
transfer（可選的）
是與消息一起傳輸?shù)腡ransferable對(duì)象序列纤掸。這些對(duì)象的所有權(quán)將提供給目標(biāo)端，并且它們?cè)诎l(fā)送端不再可用浑塞。

已調(diào)度的事件

otherWindow可以通過(guò)執(zhí)行以下JavaScript來(lái)偵聽已分派的消息：

window.addEventListener("message", receiveMessage, false);
function receiveMessage(event)
{
  if (event.origin !== "http://example.org:8080")
    return;

  // ...
}

data
從另一個(gè)窗口傳遞的對(duì)象借跪。
origin
調(diào)用當(dāng)時(shí)發(fā)送消息的窗口的原點(diǎn)postMessage。此字符串是協(xié)議和“：//”的串聯(lián)酌壕，如果存在掏愁，則為主機(jī)名，如果存在端口卵牍，則“：”后跟端口號(hào)果港，并且與給定協(xié)議的默認(rèn)端口不同。典型起源的例子是https://example.org（意味著端口為443）糊昙，http://example.net（意味著端口為80）和http://example.com:8080辛掠。請(qǐng)注意，此來(lái)源不保證是該窗口的當(dāng)前或未來(lái)來(lái)源溅蛉，該窗口可能已被導(dǎo)航到調(diào)用postMessage后的其他位置公浪。
source
對(duì)發(fā)送消息的window對(duì)象的引用他宛；你可以使用它來(lái)建立兩個(gè)不同來(lái)源的窗口之間的雙向通信。

安全問(wèn)題部分

如果您不希望從其他站點(diǎn)接收消息欠气，請(qǐng)不要為message事件添加任何事件偵聽器厅各。這是避免安全問(wèn)題的完全萬(wàn)無(wú)一失的方法。
如果您確實(shí)希望從其他站點(diǎn)接收消息预柒，則請(qǐng)始終使用origin和可能的source屬性驗(yàn)證發(fā)件人的身份队塘。任何窗口（例如，包括http://evil.example.com）都可以向任何其他窗口發(fā)送消息宜鸯，并且您無(wú)法保證未知發(fā)件人不會(huì)發(fā)送惡意消息憔古。但是，在驗(yàn)證了身份后淋袖，您仍應(yīng)始終驗(yàn)證收到的消息的語(yǔ)法鸿市。否則，您信任的站點(diǎn)中的安全漏洞只能發(fā)送受信任的消息即碗，然后可以在站點(diǎn)中打開跨站點(diǎn)腳本漏洞焰情。
在postMessage用于將數(shù)據(jù)發(fā)送到其他窗口時(shí)，始終指定精確的目標(biāo)原點(diǎn)剥懒，而不是*内舟。惡意站點(diǎn)可以在您不知情的情況下更改窗口的位置，因此它可以攔截使用postMessage發(fā)送的數(shù)據(jù)初橘。