夫天地者,万物之逆旅;光阴者,百代之过客。而浮生若梦,为欢几何?
浏览器窗口间跨域通信的解决方案

使用场景

在后台管理系统中,比如常见的OA系统,经常会使用iframe 多页签的布局方式,如下图:

往往页签A操作后需要更新页签B的数据,如页签A创建新记录后要刷新页签B的列表。A、B如果处于同一域,更新的方式有很多,很容易解决。但是A、B不在同域时,跨域通信就变成一个难题了。

H5 postMessage

window.postMessage() 方法可以安全地实现跨源通信。通常,对于两个不同页面的脚本,只有当执行它们的页面位于具有相同的协议(通常为https),端口号(443为https的默认值),以及主机  (两个页面的模数 Document.domain设置为相同的值) 时,这两个脚本才能相互通信。window.postMessage() 方法提供了一种受控机制来规避此限制,只要正确的使用,这种方法就很安全。


基本语法:

otherWindow.postMessage(message, targetOrigin);

otherWindow:

   其他窗口的一个引用,比如iframe的contentWindow属性、执行window.open返回的窗口对象、或者是命名过或数值索引的window.frames。下列方式都可以获取到 otherWindow :
   1、 Window.open 

   2、Window.opener 

   3、HTMLIFrameElement.contentWindow 

   4、Window.parent Window.frames +索引值


message:

  将要发送到其他 window的数据。它将会被结构化克隆算法序列化。这意味着你可以不受什么限制的将数据对象安全的传送给目标窗口而无需自己序列化。


targetOrigin:

  通过窗口的origin属性来指定哪些窗口能接收到消息事件,其值可以是字符串"*"(表示无限制)或者一个URI。在发送消息的时候,如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配targetOrigin提供的值,那么消息就不会被发送;只有三者完全匹配,消息才会被发送。这个机制用来控制消息可以发送到哪些窗口;例如,当用postMessage传送密码时,这个参数就显得尤为重要,必须保证它的值与这条包含密码的信息的预期接受者的origin属性完全一致,来防止密码被恶意的第三方截获。如果你明确的知道消息应该发送到哪个窗口,那么请始终提供一个有确切值的targetOrigin,而不是*。不提供确切的目标将导致数据泄露到任何对数据感兴趣的恶意站点。

代码示例

1.html

</head>
<body>
<div>
    <div>
        向IFrame发送消息:<input type="button" value="发送" id="btnSend">
    </div>
    <div>
        <iframe src="2.html" frameborder="0" id="iframe1"></iframe>
    </div>
</div>
<script>
    var btnSend = document.getElementById('btnSend')
    var iframe1  = document.getElementById('iframe1')
    btnSend.onclick=function () {
        iframe1.contentWindow.postMessage('给子窗口传递的消息', '*')
    }
    // 接收 子窗体 iframe 的消息
    window.addEventListener('message', function (event) {
        console.log('接收到:' + event.data)
    })
</script>
</body>
</html>
2.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>PostMessage Demo</title>
</head>
<body>
<div>
    <p>子窗口</p>
</div>
<script>
 // 接收父窗体传递的消息
 window.addEventListener('message', function (event) {
        console.log('接收到:' + event.data)
        window.parent.postMessage('给父窗口传递的消息', '*')
    })
</script>
</body>
</html>


作者:暗夜余晖

本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

0

支持

0

反对

posted @2019-4-20  拜读(63)

评论列表

评论内容:



喜欢请打赏

支付宝 微信

请放心支付