Discussion :

[maigrichon]

Bonjour,

Je recherchais un moyen pour communiquer en JS en cross-domain et je suis tombé dernièrement sur un article parlant de postMessage. J'ai testé cette API et elle correspond complètement à mes besoins. Cependant j'ai une interrogation concernant la sécurité. Pour ceux qui ne connaissent pas cette fonction, elle admet 2 paramètres qui sont le message et l'origine du message.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

window.postMessage(message, origin);

Si j'ai bien compris, l'origine permet de vérifier que le message est bien envoyé par le domaine attendu. Ma question est la suivante : si une personne malintentionnée arrive à avoir la référence vers ma fenêtre, il lui suffit simplement de donner le bon nom de domaine pour pouvoir envoyer des message ? N'aurait-il pas été plus judicieux de récupérer le nom de domaine émetteur en interne dans la fonction postMessage ?

En bref, j'aurais voulu savoir ce que vous pensez de cette API, est-elle suffisament sécurisée pour être utilisée en production à grande échelle ?

[SpaceFrog]

Je ne pense pas que l'on, puisse sérieusement demander à JS un quelconque niveau de sécurité ...
JS étant interprété coté client ...

[maigrichon]

En fait je me suis trompé, je croyais que le deuxième paramètre était origin, l'origine du message mais en fait c'est targetOrigin, la cible du message.

L'origine est renseignée automatiquement, du coup pas de problème, je passe en résolu, pardonnez-moi pour le topic inutile...