window.postMessage()实现跨域消息传递

window.postMessage() 方法能够安全地实现跨源通讯。一般，对于两个不一样页面的脚本，只有当执行它们的页面位于具备相同的协议（一般为https），

端口号（443为https的默认值），以及主机  (两个页面的模数 Document.domain设置为相同的值) 时，这两个脚本才能相互通讯。window.postMessage() 

方法提供了一种受控机制来规避此限制，只要正确的使用，这种方法就很安全.

 

otherWindow.postMessage(message, targetOrigin, [transfer]);

otherWindow:

其余窗口的一个引用，好比iframe的contentWindow属性、执行window.open返回的窗口对象、或者是命名过或数值索引的window.frames。

• Window.open
• Window.opener
• HTMLIFrameElement.contentWindow(父窗体向子窗体发送消息)
• Window.parent(子窗体向父窗体发送消息)
• Window.frames +索引值

message:

将要发送到其余 window的数据。它将会被结构化克隆算法序列化。这意味着你能够不受什么限制的将数据对象安全的传送给目标窗口而无需本身序列化。

targetOrigin:

经过窗口的origin属性来指定哪些窗口能接收到消息事件，其值能够是字符串"*"（表示无限制）或者一个URI。在发送消息的时候，若是目标窗口的协议、主机地址或端口这三者的任意一项不匹配targetOrigin提供的值，那么消息就不会被发送；只有三者彻底匹配，消息才会被发送。这个机制用来控制消息能够发送到哪些窗口；例如，当用postMessage传送密码时，这个参数就显得尤其重要，必须保证它的值与这条包含密码的信息的预期接受者的origin属性彻底一致，来防止密码被恶意的第三方截获。若是你明确的知道消息应该发送到哪一个窗口，那么请始终提供一个有确切值的targetOrigin，而不是*。不提供确切的目标将致使数据泄露到任何对数据感兴趣的恶意站点。

transfer :

可选是一串和message 同时传递的 Transferable 对象. 这些对象的全部权将被转移给消息的接收方，而发送一方将再也不保有全部权。

 

window.addEventListener("message",function (event){

//do something

, false); 

event对象有三个属性，分别是origin，data和source。

event.data表示接收到的消息；

event.origin表示postMessage的发送来源，包括协议，域名和端口；

event.source表示发送消息的窗口对象的引用; 

示例:

A页面中包含一个iframe,iframe加载B页面(父窗体与子窗体通讯)

A页面代码:

window.addEventListener('message', function(e) {
　　if (e.data.test=="Test") {
　　　　alert(e.data.test);
　　}
}, false);

 

B页面代码:   btnClick: function (o, e) {
　　window.parent.postMessage({ test: "Test"}, "*");

　　//{ test: "Test" }为data属性,"*" 为origin属性

}

A页面中包含一个iframe,iframe加载B页面(子窗体与父窗体通讯)

A页面代码:

function btnClick(o, e) {
document.getElementById("iframeContent").contentWindow.postMessage({ test: "Test"});
};

 

B页面代码: 

 window.addEventListener('message', function(e) {　　if (e.data.test=="Test") {　　　　alert(e.data.test);　　}}, false);