从安全角度来看,是否禁止通过Javascript(post消息)发送客户数据?
我们有一个子iframe(第三方),它希望与家长(我的帐户部分)通信。iframe发送facebook id并接收注册用户电话号码。如果我们遵循所有邮件安全检查点,如:从安全角度来看,是否禁止通过Javascript(post消息)发送客户数据?,javascript,security,post,postmessage,Javascript,Security,Post,Postmessage,我们有一个子iframe(第三方),它希望与家长(我的帐户部分)通信。iframe发送facebook id并接收注册用户电话号码。如果我们遵循所有邮件安全检查点,如: 在两侧配置TargetOrgin 正在检查iframe和父级的event.origin 清理输入以不允许xss数据包(脚本标记) 检查消息是否为特定格式(json和某些特定键) 检查用户是否在父端经过身份验证 是否存在任何其他安全问题使此方法不适合发送客户敏感数据?使用HTTPS。要解决标题-否,否则您实际上无法以任何方式发
- 在两侧配置TargetOrgin
- 正在检查iframe和父级的event.origin
- 清理输入以不允许xss数据包(脚本标记)
- 检查消息是否为特定格式(json和某些特定键)
- 检查用户是否在父端经过身份验证
是否存在任何其他安全问题使此方法不适合发送客户敏感数据?使用HTTPS。要解决标题-否,否则您实际上无法以任何方式发送客户数据。HTTPS应该是您的第一个想法,因此您不以纯文本形式发送数据,因此无法(轻松)截获和捕获数据。@vlaz虽然您认为HTTPS应用于客户端和服务器之间传输的任何数据是正确的,但这与postMessage没有直接关系(这是一个纯粹的客户端,目前还没有数据离开客户端。)