Javascript 使用window.postMessage发送敏感数据安全吗?
假设我已经设置了两个不同的域,例如: https://test1_example.com/ https://test2_example.com/ Test1有一个带有test2站点src的iframe 我想将用户名和密码从test1传递到test2站点,但我担心在这个过程中是否会有人通过网络捕获敏感数据。Javascript 使用window.postMessage发送敏感数据安全吗?,javascript,html,security,iframe,postmessage,Javascript,Html,Security,Iframe,Postmessage,假设我已经设置了两个不同的域,例如: https://test1_example.com/ https://test2_example.com/ Test1有一个带有test2站点src的iframe 我想将用户名和密码从test1传递到test2站点,但我担心在这个过程中是否会有人通过网络捕获敏感数据。 我应该在使用window.postMessage之前对其进行加密吗?因为我不确定postMessage通信是通过Internet还是仅通过浏览器窗口通信。我建议不要在网站上发布敏感数据,除非您
我应该在使用window.postMessage之前对其进行加密吗?因为我不确定postMessage通信是通过Internet还是仅通过浏览器窗口通信。我建议不要在网站上发布敏感数据,除非您确定。数据不会通过网络 它可以采取的最广泛的途径可能是,在您的情况下,因为跨源文档的线程隔离非常有效地抵御时间攻击,而时间攻击仍然完全是计算机内部的。 如果恶意脚本可以截获这些内容,那么它们可能更容易读取这两个页面的内容 然而,这并不意味着你可以随意地通过postMessage发送敏感数据,远远不是 发送敏感数据时,您必须确保正在与预期要与之通信的页面进行通信。您期望的页面之外的其他页面可能会尝试与您的页面进行通信 始终将postMessage msg的origin参数origin,[transferable]设置为要与之通信的页面的origin。永远不要使用*,除非您确定数据不敏感,并且您正赶着做一些测试
同样,始终检查接收到的MessageEvent的名称。如果无法识别,请忽略该消息。如果通过HTTPS连接,则数据将以任何方式进行加密。你担心的是a。提供的答案是模糊的,并且使用概括