我正在使用
window.parent.postMessage(message, '*')
向外部网站发送不私有/敏感的数据(消息是 iframe 应该的高度,即重要的是,它不是用户信息或类似的敏感信息)。
使用
'*'targetOriginmessage由于(就我而言)
message我必须非常小心,不要忘记这一点,并在将来通过消息发送敏感数据。只要我小心不要这样做,这种方法在技术上就是完全安全的(尽管不是最佳实践)。
我的理解正确吗?
我对此完全陌生,但看来上述问题中概述的理解确实是正确的;至少根据this精彩的问答,关键是:
这本身并不是风险。这只是意味着任何人都可以将您的内容嵌入框架中并阅读您通过 API 发送的消息
基本上,
*message这不是最佳实践的原因是,您或其他开发人员将来可能会发送敏感信息,并且可能没有意识到
targetOrigintargetOrigin