実行時に作成される Iframe を使用して、安全な postMessage 接続 (オリジンセーフ) を作成したいと考えています。
現在の状態:
特定のドメイン (以下の例) で iframe を生成するスクリプトがありますdomain.b.com。その iframe が親ドメイン (私のスクリプトを含むページ) からのみメッセージを受信するようにします。親ドメインは実行時に不明であるため、以下に説明および図解されている「ハンドシェイク」プロセスを考えています。
- Iframe が読み込まれるまで待ちます。
- 親ドメインから postMessage をオリジンとともに送信します。
- 許可されたオリジンを最初に受信したオリジンに設定します
編集: 詳細:
- サーバーにホワイトリスト ドメインがあります (たとえば、domain.a.com、any.domain.com、domain.b.com)
- 私の目標は、一部のクライアント ( domain.a.com 、 domain.b.com など) と統合することです。
- 統合したら、ハッカーが postMessage を介して機密情報をリッスンできる Iframe を挿入するのを防ぎたい
- ホワイトリストのチェックを避けたいので、acessToken を提供したいのですが、正しいフローがわかりません。
例 1:
例 2:
それはそれを実装する正しい方法ですか?