前言
PostMessage是一个用于在网页间安全地发送消息的浏览器 API。它允许不同的窗口(例如,来自同一域名下的不同页面或者不同域名下的跨域页面)进行通信,而无需通过服务器。通常情况下,它用于实现跨文档消息传递(Cross-Document Messaging),这在一些复杂的网页应用和浏览器插件中非常有用。
正文
在深入学习本文前,通过父子窗口间的消息传递示例代码+页面攻击效果带领读者了解必要的知识。
1、send.html通过 postMessage 函数向receive.html发送消息:
<!--send.html-->
<html>
<head>
<title>发送界面</title>
<meta charset="utf-8" />
<script>
function openChild() {
child = window.open('receive.html', 'popup', 'height=300px, width=300px');
}
function sendMessage() {
//发送的数据内容
let msg = { content: "
原文始发于微信公众号(芳华绝代安全团队):PostMessage:分析JS实现XSS
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论