postMessage API está diseñado para la comunicación entre dominios como parte de Mecanismo de intercambio de recursos de origen cruzado.
El método Window.postMessage (), introducido en HTML5, permite que el código JavaScript que se ejecuta en diferentes orígenes se comunique entre sí de manera bidireccional. Esta API se puede utilizar para la comunicación entre un iframe y su documento principal. De manera similar, una página HTML y una ventana secundaria pueden usarlo para intercambiar mensajes, como un video de terceros integrado que notifica a su marco principal cuando el usuario detiene el video.
Las reglas de seguridad clásicas también se aplican a las aplicaciones que usan postMessage (). Está planeando utilizar este método para compartir información de autenticación, lo que está perfectamente bien si sigue las reglas básicas de validación de entrada durante la implementación.
Nunca transmita sus tokens de autenticación : su escenario contiene varias partes diferentes que necesitan tener acceso a un token común. es posible que tenga la tentación de transmitir la información de autenticación para que todos los iframes tengan acceso a ella. Esto puede resultar en acceso no autorizado a sus tokens. Por lo tanto, la llamada postMessage () siempre debe especificar el origen de destino.
Valide siempre el origen del mensaje : debe validar que el mensaje se haya recibido de un origen válido y esperado. Solo después de la validación de origen, debe continuar con el uso del mensaje en la lógica de la aplicación. Imagine un caso en el que su aplicación esté enmarcada por un dominio malicioso. Si no valida el origen del mensaje, se puede producir una inyección de script.
Además, dependiendo de su relación de confianza con el servidor de autorización, es posible que desee validar el token una vez que se valide el origen del remitente.
Para un análisis más detallado de la seguridad de la API postMessage () junto con algunos fragmentos de código de ejemplo, consulte mi Blog