Bonjour,
Je recherchais un moyen pour communiquer en JS en cross-domain et je suis tombé dernièrement sur un article parlant de postMessage. J'ai testé cette API et elle correspond complètement à mes besoins. Cependant j'ai une interrogation concernant la sécurité. Pour ceux qui ne connaissent pas cette fonction, elle admet 2 paramètres qui sont le message et l'origine du message.
Si j'ai bien compris, l'origine permet de vérifier que le message est bien envoyé par le domaine attendu. Ma question est la suivante : si une personne malintentionnée arrive à avoir la référence vers ma fenêtre, il lui suffit simplement de donner le bon nom de domaine pour pouvoir envoyer des message ? N'aurait-il pas été plus judicieux de récupérer le nom de domaine émetteur en interne dans la fonction postMessage ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part window.postMessage(message, origin);
En bref, j'aurais voulu savoir ce que vous pensez de cette API, est-elle suffisament sécurisée pour être utilisée en production à grande échelle ?
Partager