PostMessage:分析JS实现XSS

admin 2024年7月18日14:12:01评论20 views字数 516阅读1分43秒阅读模式

PostMessage:分析JS实现XSS

前言

PostMessage是一个用于在网页间安全地发送消息的浏览器 API。它允许不同的窗口(例如,来自同一域名下的不同页面或者不同域名下的跨域页面)进行通信,而无需通过服务器。通常情况下,它用于实现跨文档消息传递(Cross-Document Messaging),这在一些复杂的网页应用和浏览器插件中非常有用。

正文

在深入学习本文前,通过父子窗口间的消息传递示例代码+页面攻击效果带领读者了解必要的知识。

1、send.html通过 postMessage 函数向receive.html发送消息:

<!--send.html--><!DOCTYPE html><html><head>    <title>发送界面</title>    <meta charset="utf-8" />    <script>        function openChild() {            child = window.open('receive.html', 'popup', 'height=300px, width=300px');        }        function sendMessage() {            //发送的数据内容            let msg = { content: "

原文始发于微信公众号(芳华绝代安全团队):PostMessage:分析JS实现XSS

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月18日14:12:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PostMessage:分析JS实现XSShttps://cn-sec.com/archives/2967104.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息