Discussion :

[Ali Kent]

Bonsoir,

J'ai deux questions :

- https://developer.mozilla.org/fr/doc...ow.postMessage
Ci dessus se trouve la documentation de la méthode postMessage de l'objet window. Peut on m'expliquer exactement le fonctionnement du deuxième argument targetOrigin?

- Ma deuxième question fait suite à la première :
Quel est exactement le fonctionnement de la méthode addEventListener (Je sais qu'elle ajoute un écouteur d'événement mais est ce si il y en a plusieurs pour un même événement ils s'ajoutent à la suite ou le dernier écouteur écrase l'ancien).


Cordialement.

[Watilin]

targetOrigin a deux usages. Le premier c'est de différencier les pages quand plus de deux pages de ton application sont susceptibles d'utiliser postMessage, et quand tu n'as pas la certitude qu'une fenêtre donnée est forcément toujours liée à la même page.

Le second c'est de renforcer la sécurité. Je traduis la page du MDN :

Ce mécanisme permet de contrôler où les messages sont envoyés ; par exemple, si postMessage était utilisé pour transmettre un mot de passe, il serait absolument vital que cet argument soit une URI dont l'origine est la même que le récepteur prévu du message contenant le mot de passe, afin de prévenir l'interception du mot de passe par une tierce-partie malicieuse.

J'admets volontiers que ça peut être très difficile, pour un attaquant, de réussir à créer une situation dans laquelle il peut récupérer les informations que tes pages envoient via postMessage. Mais très difficile ne veut pas dire impossible, et utiliser targetOrigin permet de réduire le risque.

Origine est un terme précis qui représente le schéma (http ou https), plus le domaine, plus le numéro de port quand il est présent. Il y a des cas où ce n'est pas une bonne idée d'écrire le paramètre origin en dur dans le code, car les valeurs qu'il contient sont amenées à changer. Le mieux est de le construire à la volée à partir des différentes propriétés de location.

Note que tu as aussi un certain contrôle sur le domaine de tes pages.

À propos de addEventListener : quand un évènement est reçu, les fonctions qui ont été enregistrées comme gestionnaire de cet évènement sont appelées, et l'évènement leur est passé en paramètre. Je dis bien les fonctions, il peut y en avoir autant que tu veux. Ils ne s'écrasent pas les uns les autres. Sauf dans le cas particulier où tu enregistres deux fois la même fonction (il faut qu'elle soit nommée) au même évènement sur le même élément : le second enregistrement sera ignoré.

Par contre l'ordre d'appel n'est pas garanti, il dépend de l'implémentation. En particulier, un navigateur (devine lequel ) ne respecte pas l'ordre dans lequel on a attaché les gestionnaires.

[Ali Kent]

Merci pour votre réponse et pour l’éclaircissement.

Donc 'targetOrigin' spécifie l'origine de celui qui reçoit le message : est ce bien cela?

PS : Je crois avoir deviné de quel navigateur il s'agit LOL.

[Watilin]

Donc 'targetOrigin' spécifie l'origine de celui qui reçoit le message : est ce bien cela?

Oui c'est bien ça.

[Ali Kent]

Ok merci pour la réponse.