不同源iframe跨域问题（window.postMessage）

超、凢脫俗 2022-10-09 03:09 150阅读 0赞

最近遇见一个这样的问题：在一个网页中插入一个iframe，iframe页面执行成功之后需要跳转新页面，由于safair浏览器不能在新页面打开，so，选择在当前页面打开，由于iframe是个弹窗，用window.location.href跳转页面会在弹窗里展示，这时可以用window.postMessage解决

知识点：window.postMessage

window.postMessage() 方法可以安全地实现跨源通信。通常，对于两个不同页面的脚本，只有当执行它们的页面位于具有相同的协议（通常为https），端口号（443为https的默认值），以及主机  (两个页面的模数 Document.domain设置为相同的值) 时，这两个脚本才能相互通信。window.postMessage() 方法提供了一种受控机制来规避此限制，只要正确的使用，这种方法就很安全。
    
    语法：otherWindow.postMessage(message, targetOrigin, [transfer]);
    otherWindow: 其他窗口的一个引用，比如iframe的contentWindow属性、执行window.open返回的窗口对象、或者是命名过或数值索引的window.frames。
    
    message:将要发送到其他 window的数据
    	 message 的属性有:
    	 	data:从其他 window 中传递过来的对象。
    		origin:调用 postMessage  时消息发送方窗口的 origin . 这个字符串由 协议、“://“、域名、“ : 端口号”拼接而成。例如 “https://example.org (隐含端口 443)”、“http://example.net (隐含端口 80)”、“http://example.com:8080”。请注意，这个origin不能保证是该窗口的当前或未来origin，因为postMessage被调用后可能被导航到不同的位置。
    		source:对发送消息的窗口对象的引用; 您可以使用此来在具有不同origin的两个窗口之间建立双向通信。
    
    targetOrigin:通过窗口的origin属性来指定哪些窗口能接收到消息事件，其值可以是字符串"*"（表示无限制）或者一个URI。在发送消息的时候，如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配targetOrigin提供的值，那么消息就不会被发送；只有三者完全匹配，消息才会被发送。这个机制用来控制消息可以发送到哪些窗口；例如，当用postMessage传送密码时，这个参数就显得尤为重要，必须保证它的值与这条包含密码的信息的预期接受者的origin属性完全一致，来防止密码被恶意的第三方截获。如果你明确的知道消息应该发送到哪个窗口，那么请始终提供一个有确切值的targetOrigin，而不是*。不提供确切的目标将导致数据泄露到任何对数据感兴趣的恶意站点。
    
    transfer （可选）：是一串和message 同时传递的 Transferable 对象. 这些对象的所有权将被转移给消息的接收方，而发送一方将不再保有所有权。

使用：

在iframe页面里传出去
    var message =  {type: 'open', link:'要跳转的链接'};
     //子窗口向父窗口发送消息，消息中包含我们想跳转的链接
     parent.postMessage(message,'*');
    在外面的页面接收
    window.addEventListener('message', (e)=>{
        console.log(e,e.data.link,event )
          let origin = e.origin || e.originalEvent.origin; 
          if (origin !== 'https://域名') {
              return;  
          }else {
              window.location.href = e.data.link
          }
      },false);

解决