セキュリティ的に危険なので,受信側でオリジンのチェックを必ず行ってください.CSRF脆弱性になります.
<script type="text/javascript">
// メッセージ受信イベント
window.addEventListener('message', function(event) {
+ // CSRF対策のためメッセージ送信元のオリジンを検証する
+ if (event.origin !== 'http://基準サイト.com') return;
// メッセージ送信元のサイトに返答する
event.source.postMessage('WORLD!', event.origin);
}, false);
</script>
[JavaScript] postMessageでクロスドメインメッセージ通信 - Qiita
http://qiita.com/yasumodev/items/d339a875b4b9bf65d156
0 件のコメント:
コメントを投稿