JS - Как безопасно использовать window.postMessage, когда домен отправителя неизвестен

Я хотел бы создать безопасное соединение postMessage (исходное безопасное) с Iframe, созданным во время выполнения.JS - Как безопасно использовать window.postMessage, когда домен отправителя неизвестен

Текущее состояние: У меня есть сценарий, который генерирует IFRAME с определенным доменом (domain.b.com в приведенном ниже примере). Я хочу, чтобы iframe получал сообщения только из родительского домена (страницы, которая включала мой скрипт). Поскольку родительский домен неизвестен во время выполнения, я думаю о процессе «Рукопожатия», как описано и проиллюстрировано ниже:

Ждите загрузки Iframe.
Отправить postMessage из родительского домена с его происхождением.
Установить разрешенное начало быть первый получил происхождение

Edit: Дополнительная информация:

На моем сервере у меня есть белый список доменов (например, domain.a.com, any.domain.com, domain.b.com)
Моя цель - интегрироваться с некоторыми из моих клиентов (например, domain.a.com, domain.b.com)
После интеграции я хочу предотвратить хак rs, вводящие iframes, которые могут прослушивать конфиденциальную информацию по postMessage
Я хочу, чтобы избежать проверки белого списка, я предпочитаю давать некоторые acessToken, но не уверен, что такое правильный поток.

Пример 1:

enter image description here

Пример 2:

enter image description here

Это правильный путь для его реализации?

источник

2013-07-01 Shlomi Schwartz

Я считаю, что вы допустили ошибку в своем втором примере. Я думаю, хотел сказать 'postMessage (« any.domain.com »,« domain.b.com »)' в вашем первом postMessage! – Mehran

Вы правы ... извините за это –

Есть ли причина, по которой вы не просто предоставляете родительский домен в URL-адресе, загруженном в iframe (' <small> <span></span> </small> </span> </p> </div> </div> </div> </div> </div> </article> </div> <div class="answer-title"> <span class="text-logo margin-top-sm">A</span> <h2 class="title h4">ответ</h2> </div> <div class="item-description text-md markdown-body margin-bottom-40 voidso"> <article class="board-top-1 padding-top-10"> <div class="post-col vote-info"> <span class="count">4<i class="fa fa-thumbs-up"></i></span> <i class="fa fa-check fa-2x"></i> </div> <div class="post-offset"> <div class="answer fmt"> <p>Как указано <a href="https://developer.mozilla.org/en-US/docs/Web/API/window.postMessage#Security_concerns" rel="nofollow">here</a>, вы не должны ожидать отправления источника родителя в параметре <code class="prettyprint-override">postMessage</code>. Вместо этого:</p> <blockquote> <p>Если вы ожидаете получать сообщения от других сайтов, всегда проверять личность отправителя, используя <strong>происхождение</strong> и, возможно, <strong>источник</strong> свойств. Любое окно (включая, например, <a href="http://evil.example.com" rel="nofollow">http://evil.example.com</a>) может отправить сообщение в любое другое окно, и у вас нет гарантий, что неизвестный отправитель не отправит вредоносные сообщения. После подтверждения идентификатора вы все равно должны всегда проверять синтаксис полученного сообщения . В противном случае отверстие безопасности на сайте, которому вы доверяли , чтобы отправлять только доверенные сообщения, может затем открыть межсайтовый скриптинг на вашем сайте.</p> </blockquote> <p>И как только у вас есть URI основного фрейма в вашем iframe, вы можете проверить его авторизацию с помощью простого вызова AJAX на сервер. С моей точки зрения, вызов сервера неизбежен и так или иначе вы сделаете такой звонок.</p> <p>Есть другие способы узнать, кто включает ваш iframe, но они не полагаются на <code class="prettyprint-override">postMessage</code>. Например, если вы используете PHP, вы можете проверить <code class="prettyprint-override">$_SERVER['HTTP_REFERER']</code>, чтобы узнать, кто запрашивает ваш iframe еще до его отправки в браузер. Тем не менее есть способы и для <a href="http://en.wikipedia.org/wiki/Referer_spoofing" rel="nofollow">referrer spoofing</a>.</p> <p>Если вашему приложению требуется твердое решение с пуленепробиваемой сигнализацией, тогда связь между сервером и сервером - это ваш путь. В этом случае каждый ваш клиент имеет имя пользователя и пароль, а веб-сервер, который будет обслуживать главную страницу, должен запросить одноразовый маркер прохождения с веб-сервера, который обслуживает iframe (это связь между сервером и сервером). И затем используйте токен в URL-адресе iframe, который будет отправлен обратно на сервер, сгенерированный им. Вот шаг за шагом этого сценария:</p> <ol> <li><p>Конечный пользователь запрашивает URL <code class="prettyprint-override">http://customer.com/main.php</code>.</p></li> <li><p>Хотя <code class="prettyprint-override">main.php</code> выполняет и наполнение ответа, он также подключается к <code class="prettyprint-override">http://you_website.com/generate_token.php?username=cutomer1&password=123</code> и получает один раз пропуск маркеров <code class="prettyprint-override">token1</code>.</p></li> <li><p>Реакция возвращается браузеру, содержащему iframe с URL-адресом <code class="prettyprint-override">http://your_website.com/iframe.php?token=token1</code>.</p></li> <li><p>В <code class="prettyprint-override">iframe.php</code> вы проверить <code class="prettyprint-override">token1</code>, чтобы увидеть, если он действителен, и , в то же время, вы аутентичности запрашивающего фактически не спрашивая для своего имени пользователя и/или пароля (так как вы знаете, кто вы есть генерировал токен для).</p></li> </ol> <p>Такие жетоны обычно удаляются после использования (один раз), и они также обычно поставляются с данными об истечении срока годности. Но это зависит от вас и вашего приложения.</p> </div> <div class="post-info"> <div class="post-meta row"> <p class="text-secondary col-lg-6"> <span class="source"> <a rel="noopener" target="_blank" href="https://stackoverflow.com/q/17465855">источник</a> </span> </p> <p class="text-secondary col-lg-6"> <span class="float-right date"> <span>2013-07-04 08:48:48</span> <a rel="noopener" target="_blank" href="https://stackoverflow.com/users/866082/">Mehran</a></span> </p> <p class="col-12"></p> <p class="col-12"></p></div> </div>  <div class="comments"> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">Это точно мой вопрос, как вы можете проверить идентификатор отправителя, если отправитель отличается для каждого сайта, который включает скрипт? – <span class="text-secondary"> <small> <span></span> </small> </span> </p> </div> </div> </div> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">Я не уверен, правильно ли я понял ваш вопрос! входящее событие в обработчике событий сообщения, у вас также есть 'URI 'своего отправителя, который предоставляется вам браузером, поэтому вы всегда можете быть уверены, что это правда. И теперь, когда у вас есть 'URI 'отправителя, вы можете проверить его с помощью любого заслуживающего доверия источника, который, возможно, придется тестировать и посмотреть, находится ли источник в вашем белом списке или нет. Дайте мне знать, если меня неправильно поймут. – <span class="text-secondary"> <small> <a rel="noopener" target="_blank" href="https://stackoverflow.com/users/866082/">Mehran</a></span> <span></span> </small> </span> </p> </div> </div> </div> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">Я хочу избежать белого листинга ...вместо этого я думаю о чем-то вроде токена, но поскольку это только клиентская сторона, я не уверен, что это решение. Твоя мысль? – <span class="text-secondary"> <small> <span></span> </small> </span> </p> </div> </div> </div> </div> </div> </article> <div> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="4319274062" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div> <div class="clearfix"> </div> <div class="relative-box"> <div class="relative">Смежные вопросы</div> <ul class="relative_list"> <li> 1. <a href="http://ru.voidcc.com/question/p-dfnyotlg-bhr.html" target="_blank" title="Когда безопасно использовать CORS?"> Когда безопасно использовать CORS? </a> </li> <li> 2. <a href="http://ru.voidcc.com/question/p-qsbrqtxf-bsg.html" target="_blank" title="JSONP или window.postMessage & MessageChannel"> JSONP или window.postMessage & MessageChannel </a> </li> <li> 3. <a href="http://ru.voidcc.com/question/p-kohppuru-gx.html" target="_blank" title="Когда безопасно использовать $ scope. $ Apply()?"> Когда безопасно использовать $ scope. $ Apply()? </a> </li> <li> 4. <a href="http://ru.voidcc.com/question/p-qtwbzkce-ds.html" target="_blank" title="Как использовать window.postMessage для динамических встроенных фреймов?"> Как использовать window.postMessage для динамических встроенных фреймов? </a> </li> <li> 5. <a href="http://ru.voidcc.com/question/p-mucpfsqc-bgq.html" target="_blank" title="Использовать phplist на другом сервере, чем домен отправителя"> Использовать phplist на другом сервере, чем домен отправителя </a> </li> <li> 6. <a href="http://ru.voidcc.com/question/p-ftnbobnx-e.html" target="_blank" title="JS добавляет класс hover между двумя div, когда класс неизвестен."> JS добавляет класс hover между двумя div, когда класс неизвестен. </a> </li> <li> 7. <a href="http://ru.voidcc.com/question/p-brzaejjt-bsa.html" target="_blank" title="Sendmail: адрес отправителя отклонен (домен не найден)"> Sendmail: адрес отправителя отклонен (домен не найден) </a> </li> <li> 8. <a href="http://ru.voidcc.com/question/p-gbiqsytc-sq.html" target="_blank" title="Адрес отправителя отклонен: домен не найден"> Адрес отправителя отклонен: домен не найден </a> </li> <li> 9. <a href="http://ru.voidcc.com/question/p-hslajvhq-ks.html" target="_blank" title="Использовать родителя как отправителя события"> Использовать родителя как отправителя события </a> </li> <li> 10. <a href="http://ru.voidcc.com/question/p-uamffwgy-tt.html" target="_blank" title="Window.postMessage() issue"> Window.postMessage() issue </a> </li> <li> 11. <a href="http://ru.voidcc.com/question/p-qcmqhbtm-cs.html" target="_blank" title="Разрешено ли использовать window.postMessage() в расширении хром?"> Разрешено ли использовать window.postMessage() в расширении хром? </a> </li> <li> 12. <a href="http://ru.voidcc.com/question/p-nnsmwdiy-tu.html" target="_blank" title="Как безопасно использовать SwingWorker?"> Как безопасно использовать SwingWorker? </a> </li> <li> 13. <a href="http://ru.voidcc.com/question/p-pgeubfbe-bcp.html" target="_blank" title="Javascript, как выбрать параметр, когда .selectedIndex неизвестен"> Javascript, как выбрать параметр, когда .selectedIndex неизвестен </a> </li> <li> 14. <a href="http://ru.voidcc.com/question/p-ygwktydy-rm.html" target="_blank" title="Когда это безопасно использовать PHP Получить запросы"> Когда это безопасно использовать PHP Получить запросы </a> </li> <li> 15. <a href="http://ru.voidcc.com/question/p-tlybkekp-bge.html" target="_blank" title="Когда использовать $ в JS"> Когда использовать $ в JS </a> </li> <li> 16. <a href="http://ru.voidcc.com/question/p-qcbhdcqv-bka.html" target="_blank" title="Как безопасно использовать SecureString?"> Как безопасно использовать SecureString? </a> </li> <li> 17. <a href="http://ru.voidcc.com/question/p-vksftqed-boo.html" target="_blank" title="Как безопасно использовать cronjobs"> Как безопасно использовать cronjobs </a> </li> <li> 18. <a href="http://ru.voidcc.com/question/p-asqpmcyy-bab.html" target="_blank" title="Как безопасно использовать JSON.stringify"> Как безопасно использовать JSON.stringify </a> </li> <li> 19. <a href="http://ru.voidcc.com/question/p-pwkuacbr-dd.html" target="_blank" title="Как использовать strcpy безопасно"> Как использовать strcpy безопасно </a> </li> <li> 20. <a href="http://ru.voidcc.com/question/p-oezrqcsi-bay.html" target="_blank" title="DynamoDB - запрос, когда hash неизвестен"> DynamoDB - запрос, когда hash неизвестен </a> </li> <li> 21. <a href="http://ru.voidcc.com/question/p-ervetczo-xg.html" target="_blank" title="как объявить массив, когда тип данных неизвестен"> как объявить массив, когда тип данных неизвестен </a> </li> <li> 22. <a href="http://ru.voidcc.com/question/p-vgnhsbul-c.html" target="_blank" title="Как создать массив, когда размер массива неизвестен"> Как создать массив, когда размер массива неизвестен </a> </li> <li> 23. <a href="http://ru.voidcc.com/question/p-cbejpxdz-bon.html" target="_blank" title="Безопасно ли использовать Stream.Seek, когда открыт BinaryReader?"> Безопасно ли использовать Stream.Seek, когда открыт BinaryReader? </a> </li> <li> 24. <a href="http://ru.voidcc.com/question/p-oxfytscw-brm.html" target="_blank" title="Когда использовать Angular JS"> Когда использовать Angular JS </a> </li> <li> 25. <a href="http://ru.voidcc.com/question/p-uqvesfam-kr.html" target="_blank" title="Зачем использовать Map(), когда ключ неизвестен до запуска?"> Зачем использовать Map(), когда ключ неизвестен до запуска? </a> </li> <li> 26. <a href="http://ru.voidcc.com/question/p-bragskpq-hm.html" target="_blank" title="Как использовать ReadAllText при кодировании файла неизвестен"> Как использовать ReadAllText при кодировании файла неизвестен </a> </li> <li> 27. <a href="http://ru.voidcc.com/question/p-xmropgxs-bgk.html" target="_blank" title="Как вы используете window.postMessage через домены?"> Как вы используете window.postMessage через домены? </a> </li> <li> 28. <a href="http://ru.voidcc.com/question/p-xwluboxf-bhc.html" target="_blank" title="Тестирование window.postMessage директива"> Тестирование window.postMessage директива </a> </li> <li> 29. <a href="http://ru.voidcc.com/question/p-kbkcspds-to.html" target="_blank" title="Angular 2 window.postmessage"> Angular 2 window.postmessage </a> </li> <li> 30. <a href="http://ru.voidcc.com/question/p-ahpdirig-bdk.html" target="_blank" title="javascript - window.postmessage - event.data всегда null"> javascript - window.postmessage - event.data всегда null </a> </li> </ul> </div> <div> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-format="autorelaxed" data-ad-client="ca-pub-6208739752673518" data-ad-slot="3534119089"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="padding-top-10"></div> </div> </div> <script type="text/javascript" src="http://img2.voidcc.com/voidso/script/side.js?t=1652515422009"></script> <script type="text/javascript" src="http://img2.voidcc.com/voidso/plugin/highlight/highlight.pack.js"></script> <link href="http://img2.voidcc.com/voidso/plugin/highlight/styles/docco.css" media="screen" rel="stylesheet" type="text/css" /> <script type="text/javascript"> $('pre').each(function(i, e) { hljs.highlightBlock(e, "<span class='indent'> </span>", false) }); </script> <div class="col-lg-3 col-md-4 col-sm-5"> <div id="rightTop"> <div class="row"> <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>  <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="3862022848" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="row sidebar panel panel-default"> <div class="panel-heading font-bold"> Последний вопрос </div> <div class="m-b-sm m-t-sm clearfix"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://ru.voidcc.com/question/p-tqeshdly-wn.html" target="_blank" title="как размещать данные в MySQL с помощью андроида залп"> как размещать данные в MySQL с помощью андроида залп </a> </li> <li class="side_article_list_item"> 2. <a href="http://ru.voidcc.com/question/p-bddcyzti-vn.html" target="_blank" title="Использование и содержание печати Сета <Set<T>> в Java"> Использование и содержание печати Сета <Set<T>> в Java </a> </li> <li class="side_article_list_item"> 3. <a href="http://ru.voidcc.com/question/p-ycljsowq-vu.html" target="_blank" title="Создание двух строк для одной и той же ссылки, в зависимости от значения столбца"> Создание двух строк для одной и той же ссылки, в зависимости от значения столбца </a> </li> <li class="side_article_list_item"> 4. <a href="http://ru.voidcc.com/question/p-xlwuzmcz-qg.html" target="_blank" title="Facebook API: как искать группы и страницы с одного запроса"> Facebook API: как искать группы и страницы с одного запроса </a> </li> <li class="side_article_list_item"> 5. <a href="http://ru.voidcc.com/question/p-pumdpysa-ne.html" target="_blank" title="Установка adsize программно не работает NativeAdExpress"> Установка adsize программно не работает NativeAdExpress </a> </li> <li class="side_article_list_item"> 6. <a href="http://ru.voidcc.com/question/p-nvvfhnus-or.html" target="_blank" title="viewDidLoad вызывался каждый ребенок добавляется firbase БД При"> viewDidLoad вызывался каждый ребенок добавляется firbase БД При </a> </li> </ul> </div> </div> </div> <p class="article-nav-bar"></p> <div class="row sidebar article-nav"> <div class="row box_white visible-sm visible-md visible-lg margin-zero"> <div class="top"> <h3 class="title"><i class="glyphicon glyphicon-th-list"></i> Смежные вопросы</h3> </div> <div class="article-relative-content"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://ru.voidcc.com/question/p-dfnyotlg-bhr.html" target="_blank" title="Когда безопасно использовать CORS?"> Когда безопасно использовать CORS? </a> </li> <li class="side_article_list_item"> 2. <a href="http://ru.voidcc.com/question/p-qsbrqtxf-bsg.html" target="_blank" title="JSONP или window.postMessage & MessageChannel"> JSONP или window.postMessage & MessageChannel </a> </li> <li class="side_article_list_item"> 3. <a href="http://ru.voidcc.com/question/p-kohppuru-gx.html" target="_blank" title="Когда безопасно использовать $ scope. $ Apply()?"> Когда безопасно использовать $ scope. $ Apply()? </a> </li> <li class="side_article_list_item"> 4. <a href="http://ru.voidcc.com/question/p-qtwbzkce-ds.html" target="_blank" title="Как использовать window.postMessage для динамических встроенных фреймов?"> Как использовать window.postMessage для динамических встроенных фреймов? </a> </li> <li class="side_article_list_item"> 5. <a href="http://ru.voidcc.com/question/p-mucpfsqc-bgq.html" target="_blank" title="Использовать phplist на другом сервере, чем домен отправителя"> Использовать phplist на другом сервере, чем домен отправителя </a> </li> <li class="side_article_list_item"> 6. <a href="http://ru.voidcc.com/question/p-ftnbobnx-e.html" target="_blank" title="JS добавляет класс hover между двумя div, когда класс неизвестен."> JS добавляет класс hover между двумя div, когда класс неизвестен. </a> </li> <li class="side_article_list_item"> 7. <a href="http://ru.voidcc.com/question/p-brzaejjt-bsa.html" target="_blank" title="Sendmail: адрес отправителя отклонен (домен не найден)"> Sendmail: адрес отправителя отклонен (домен не найден) </a> </li> <li class="side_article_list_item"> 8. <a href="http://ru.voidcc.com/question/p-gbiqsytc-sq.html" target="_blank" title="Адрес отправителя отклонен: домен не найден"> Адрес отправителя отклонен: домен не найден </a> </li> <li class="side_article_list_item"> 9. <a href="http://ru.voidcc.com/question/p-hslajvhq-ks.html" target="_blank" title="Использовать родителя как отправителя события"> Использовать родителя как отправителя события </a> </li> <li class="side_article_list_item"> 10. <a href="http://ru.voidcc.com/question/p-uamffwgy-tt.html" target="_blank" title="Window.postMessage() issue"> Window.postMessage() issue </a> </li> </ul> </div> </div> </div> </div> </div> </div> </div>  <footer id="footer"> <div class="bg-simple lt"> <div class="container"> <div class="row padder-v m-t"> <div class="col-xs-8"> <ul class="list-inline"> <li><a href="http://ru.voidcc.com/contact">Свяжитесь с нами</a></li> <li>© 2020 RU.VOIDCC.COM</li> <li><a rel="nofollow" href="https://beian.miit.gov.cn/" target="_blank">沪ICP备13005482号-13</a></li> <li><script type="text/javascript" src="https://s9.cnzz.com/z_stat.php?id=1280098168&web_id=1280098168"></script></li> <li><a href="http://cn.voidcc.com/" target="_blank" title="程序问答园区">简体中文</a></li> <li><a href="http://hk.voidcc.com/" target="_blank" title="程序問答園區">繁體中文</a></li> <li><a href="http://ru.voidcc.com/" target="_blank" title="поле вопросов и ответов">Русский</a></li> <li><a href="http://de.voidcc.com/" target="_blank" title="Frage - und - antwort - Park">Deutsch</a></li> <li><a href="http://es.voidcc.com/" target="_blank" title="Preguntas y respuestas">Español</a></li> <li><a href="http://hi.voidcc.com/" target="_blank" title="कार्यक्रम प्रश्न और उत्तर पार्क">हिन्दी</a></li> <li><a href="http://it.voidcc.com/" target="_blank" title="IL Programma di chiedere Park">Italiano</a></li> <li><a href="http://ja.voidcc.com/" target="_blank" title="プログラム問答園区">日本語</a></li> <li><a href="http://ko.voidcc.com/" target="_blank" title="프로그램 문답 단지">한국어</a></li> <li><a href="http://pl.voidcc.com/" target="_blank" title="program o park">Polski</a></li> <li><a href="http://tr.voidcc.com/" target="_blank" title="Program soru ve cevap parkı">Türkçe</a></li> <li><a href="http://vi.voidcc.com/" target="_blank" title="Đáp ứng viên">Tiếng Việt</a></li> <li><a href="http://fr.voidcc.com/" target="_blank" title="Programme interrogation Park">Française</a></li> </ul> </div> </div> </div> </div> </div> </footer>  <script async src="https://www.googletagmanager.com/gtag/js?id=UA-77509369-5"></script> <script> window.dataLayer = window.dataLayer || []; function gtag() { dataLayer.push(arguments); } gtag('js', new Date()); gtag('config', 'UA-77509369-5'); </script> <script> var _hmt = _hmt || []; (function () { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?67d4731349f0b00136755b80364ce381"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script> </body> </html>