JS - Come utilizzare in modo sicuro window.postMessage quando il dominio del mittente è sconosciuto

Vorrei creare una connessione postMessage sicura (sicura dell'origine), con un Iframe creato in fase di runtime.JS - Come utilizzare in modo sicuro window.postMessage quando il dominio del mittente è sconosciuto

Stato attuale: Ho uno script, che genera un iframe con un dominio specifico (domain.b.com nell'esempio qui sotto). Voglio che iframe riceva messaggi solo dal dominio genitore (la pagina che include il mio script). Poiché il dominio parent è sconosciuto al runtime, sto pensando a un processo "Handshake" come descritto ed illustrato di seguito:

Attendere il caricamento di Iframe.
Invia messaggio messaggio dal dominio padre con la sua origine.
Impostare l'origine ha permesso di essere il primo ricevuto origine

Edit: Ulteriori informazioni:

Sul mio server ho un domini whitelist (ad esempio domain.a.com, any.domain.com, domain.b.com)
Il mio obiettivo è l'integrazione con alcuni dei miei clienti (ad esempio dominio.a.com, dominio.b.com)
Una volta integrato voglio impedire l'hacke rs iniettando iframe in grado di ascoltare informazioni sensibili su postMessage
Voglio evitare di controllare la lista bianca, preferisco dare qualche acessToken, ma non sono sicuro di quale sia il flusso corretto.

Esempio 1:

enter image description here

Esempio 2:

enter image description here

E 'questo il modo giusto per la sua attuazione?

fonte

2013-07-01 Shlomi Schwartz

Credo che tu abbia commesso un errore nel tuo secondo esempio. Penso che volessi dire 'postMessage (" any.domain.com "," domain.b.com ")' nel tuo primo postMessage! – Mehran

Hai ragione ... mi dispiace per quello –

C'è un motivo per cui non fornisci semplicemente il dominio genitore nell'URL caricato all'interno dell'iframe (' <small> <span></span> </small> </span> </p> </div> </div> </div> </div> </div> </article> </div> <div class="answer-title"> <span class="text-logo margin-top-sm">A</span> <h2 class="title h4">risposta</h2> </div> <div class="item-description text-md markdown-body margin-bottom-40 voidso"> <article class="board-top-1 padding-top-10"> <div class="post-col vote-info"> <span class="count">4<i class="fa fa-thumbs-up"></i></span> <i class="fa fa-check fa-2x"></i> </div> <div class="post-offset"> <div class="answer fmt"> <p>Come già detto <a href="https://developer.mozilla.org/en-US/docs/Web/API/window.postMessage#Security_concerns" rel="nofollow">here</a>, non dovresti aspettarti che l'origine del genitore ti venga inviata nel parametro <code class="prettyprint-override">postMessage</code>. Invece:</p> <blockquote> <p>Se vi aspettate di ricevere messaggi da altri siti, verificare sempre l'identità del mittente utilizzando il <strong>origine</strong> e possibilmente <strong>fonte</strong> proprietà. Qualsiasi finestra (incluso, ad esempio, <a href="http://evil.example.com" rel="nofollow">http://evil.example.com</a>) può inviare un messaggio a a qualsiasi altra finestra e non si garantisce che un mittente sconosciuto non invii messaggi dannosi. Dopo aver verificato l'identità , è comunque necessario verificare sempre la sintassi del messaggio ricevuto . In caso contrario, un buco di sicurezza nel sito di cui ti fidi di per inviare solo messaggi attendibili potrebbe quindi aprire un foro di scripting cross-site nel tuo sito.</p> </blockquote> <p>E una volta che hai l'URI del frame principale nell'iframe, puoi verificarne l'autorizzazione con una semplice chiamata AJAX al server. Dal mio punto di vista, una chiamata al server è inevitabile e in un modo o nell'altro si farà una tale chiamata.</p> <p>Ci sono altri modi per sapere chi include l'iframe ma non si affidano a <code class="prettyprint-override">postMessage</code>. Ad esempio, se stai utilizzando PHP, puoi controllare <code class="prettyprint-override">$_SERVER['HTTP_REFERER']</code> per vedere chi sta richiedendo il tuo iframe prima ancora che venga inviato al browser. Eppure ci sono modi per <a href="http://en.wikipedia.org/wiki/Referer_spoofing" rel="nofollow">referrer spoofing</a> pure.</p> <p>Se l'applicazione richiede una solida soluzione a prova di proiettile, la comunicazione da server a server è la tua strada. In questo scenario, ogni tuo cliente ha un nome utente e una password e il server web che sta per servire la pagina principale dovrebbe richiedere un token pass one time dal server web che sta servendo l'iframe (questa è una comunicazione server-server). E quindi utilizzare il token nell'URL dell'iframe per essere rispedito al server generato. Ecco un passo per passo di questo scenario:</p> <ol> <li><p>utente finale chiede l'URL <code class="prettyprint-override">http://customer.com/main.php</code>.</p></li> <li><p>Mentre <code class="prettyprint-override">main.php</code> è l'esecuzione e popolare la risposta, anche collega a <code class="prettyprint-override">http://you_website.com/generate_token.php?username=cutomer1&password=123</code> e ottiene un passaggio volta gettone <code class="prettyprint-override">token1</code>.</p></li> <li><p>La risposta viene restituita al browser contenente un iframe con URL <code class="prettyprint-override">http://your_website.com/iframe.php?token=token1</code>.</p></li> <li><p>In <code class="prettyprint-override">iframe.php</code> di verificare la <code class="prettyprint-override">token1</code> per vedere se è valida, e , allo stesso tempo, si esegue l'autenticazione del richiedente senza in realtà chiedere per il suo username e/o password (in quanto si sa che hai generato il token per).</p></li> </ol> <p>Tali token vengono solitamente eliminati una volta utilizzati (un passaggio di tempo) e generalmente vengono forniti con una data di scadenza. Ma dipende da te e dalla tua applicazione.</p> </div> <div class="post-info"> <div class="post-meta row"> <p class="text-secondary col-lg-6"> <span class="source"> <a rel="noopener" target="_blank" href="https://stackoverflow.com/q/17465855">fonte</a> </span> </p> <p class="text-secondary col-lg-6"> <span class="float-right date"> <span>2013-07-04 08:48:48</span> <a rel="noopener" target="_blank" href="https://stackoverflow.com/users/866082/">Mehran</a></span> </p> <p class="col-12"></p> <p class="col-12"></p></div> </div>  <div class="comments"> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">Questa è esattamente la mia domanda, come puoi verificare l'identità del mittente se il mittente è diverso per ogni sito che includeva lo script? – <span class="text-secondary"> <small> <span></span> </small> </span> </p> </div> </div> </div> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">Non sono sicuro di aver compreso correttamente la tua domanda! un evento in arrivo sul gestore di eventi del tuo messaggio, hai anche l'URI del mittente che ti viene dato dal browser in modo da essere sempre sicuro che sia la verità. E ora che hai l'URI del mittente, puoi controllarlo con qualsiasi fonte degna di fiducia che potresti dover verificare e vedere se l'origine è all'interno della tua lista bianca oppure no. Fammi sapere se sono frainteso. – <span class="text-secondary"> <small> <a rel="noopener" target="_blank" href="https://stackoverflow.com/users/866082/">Mehran</a></span> <span></span> </small> </span> </p> </div> </div> </div> <div itemprop="comment" class="post-comment"> <div class="row"> <div class="col-lg-1"><span class="text-secondary">+0</span></div> <div class="col-lg-11"> <p class="commenttext">Voglio evitare l'elenco bianco ...invece sto pensando a qualcosa come un token, ma dal momento che è solo client-side, non sono sicuro che sia la soluzione. Tuo pensiero? – <span class="text-secondary"> <small> <span></span> </small> </span> </p> </div> </div> </div> </div> </div> </article> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="1038284119" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div> <div class="clearfix"> </div> <div> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-format="autorelaxed" data-ad-client="ca-pub-6208739752673518" data-ad-slot="1575177025"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="padding-top-10"></div> </div> </div> <script type="text/javascript" src="http://img.uwenku.com/uwenku/script/side.js?t=1644592048671"></script> <script type="text/javascript" src="http://img.uwenku.com/uwenku/plugin/highlight/highlight.pack.js"></script> <link href="http://img.uwenku.com/uwenku/plugin/highlight/styles/docco.css" media="screen" rel="stylesheet" type="text/css" /> <script type="text/javascript"> $('pre').each(function(i, e) { hljs.highlightBlock(e, "<span class='indent'> </span>", false) }); </script> <div class="col-lg-3 col-md-4 col-sm-5"> <div id="rightTop"> <div class="row"> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script> <ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6208739752673518" data-ad-slot="5415218910" data-ad-format="auto" data-full-width-responsive="true"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="row sidebar panel panel-default"> <div class="panel-heading font-bold"> Ultima domanda </div> <div class="m-b-sm m-t-sm clearfix"> <ul class="side_article_list"> <li class="side_article_list_item"> 1. <a href="http://it.uwenku.com/question/p-vfnomsij-r.html" target="_blank" title="dispatchEvent() con una funzione come parametro, esegue la funzione, invece di passarlo"> dispatchEvent() con una funzione come parametro, esegue la funzione, invece di passarlo </a> </li> <li class="side_article_list_item"> 2. <a href="http://it.uwenku.com/question/p-vwvexizr-by.html" target="_blank" title="Come rendere estensione per più classi Swift"> Come rendere estensione per più classi Swift </a> </li> <li class="side_article_list_item"> 3. <a href="http://it.uwenku.com/question/p-ubglwiii-bb.html" target="_blank" title="animazione angular2 con stili variabili"> animazione angular2 con stili variabili </a> </li> <li class="side_article_list_item"> 4. <a href="http://it.uwenku.com/question/p-mrbwcepr-bk.html" target="_blank" title="com.android.support:design:24.1.0 non veniva visualizzato correttamente nella barra di navigazione"> com.android.support:design:24.1.0 non veniva visualizzato correttamente nella barra di navigazione </a> </li> <li class="side_article_list_item"> 5. <a href="http://it.uwenku.com/question/p-wiiqfoli-d.html" target="_blank" title="Qual è la differenza tra Docker per Windows e Docker su Windows?"> Qual è la differenza tra Docker per Windows e Docker su Windows? </a> </li> <li class="side_article_list_item"> 6. <a href="http://it.uwenku.com/question/p-ukerzrng-bx.html" target="_blank" title="Aggiornamento Google Play Services da 8.4.0 a 9.2.1 causa errore di sincronizzazione Gradle"> Aggiornamento Google Play Services da 8.4.0 a 9.2.1 causa errore di sincronizzazione Gradle </a> </li> <li class="side_article_list_item"> 7. <a href="http://it.uwenku.com/question/p-chksvqhh-bq.html" target="_blank" title="Dov'è la chiave di crittografia memorizzata in Jenkins?"> Dov'è la chiave di crittografia memorizzata in Jenkins? </a> </li> <li class="side_article_list_item"> 8. <a href="http://it.uwenku.com/question/p-vbyhofzo-bh.html" target="_blank" title="L'API DocuSign supporta google analytics?"> L'API DocuSign supporta google analytics? </a> </li> <li class="side_article_list_item"> 9. <a href="http://it.uwenku.com/question/p-oxwxqxzp-bt.html" target="_blank" title="R: set.seed() i risultati non corrispondono se il pacchetto caret è caricato"> R: set.seed() i risultati non corrispondono se il pacchetto caret è caricato </a> </li> <li class="side_article_list_item"> 10. <a href="http://it.uwenku.com/question/p-htoulamv-y.html" target="_blank" title="Accedere alle informazioni di percorso successivo all'interno canDeactivate guardia nel nuovo router angular2"> Accedere alle informazioni di percorso successivo all'interno canDeactivate guardia nel nuovo router angular2 </a> </li> </ul> </div> </div> </div> <p class="article-nav-bar"></p> <div class="row sidebar article-nav"> <div class="row box_white visible-sm visible-md visible-lg margin-zero"> <div class="top"> <h3 class="title"><i class="glyphicon glyphicon-th-list"></i> Problemi correlati</h3> </div> <div class="article-relative-content"> <ul class="side_article_list"> <li class="side_article_list_item">Nessun problema correlato^_^</li> </ul> </div> </div> </div> </div> </div> </div> </div>  <footer id="footer"> <div class="bg-simple lt"> <div class="container"> <div class="row padder-v m-t"> <div class="col-xs-8"> <ul class="list-inline"> <li><a href="http://it.uwenku.com/contact">Contattaci</a></li> <li>© 2020 IT.UWENKU.COM</li> <li><a target="_blank" href="https://beian.miit.gov.cn/">沪ICP备13005482号-4</a></li> <li><script type="text/javascript" src="https://v1.cnzz.com/z_stat.php?id=1280101193&web_id=1280101193"></script></li> <li><a href="http://www.uwenku.com/" target="_blank" title="优文库">简体中文</a></li> <li><a href="http://hk.uwenku.com/" target="_blank" title="優文庫">繁體中文</a></li> <li><a href="http://ru.uwenku.com/" target="_blank" title="поле вопросов и ответов">Русский</a></li> <li><a href="http://de.uwenku.com/" target="_blank" title="Frage - und - antwort - Park">Deutsch</a></li> <li><a href="http://es.uwenku.com/" target="_blank" title="Preguntas y respuestas">Español</a></li> <li><a href="http://hi.uwenku.com/" target="_blank" title="कार्यक्रम प्रश्न और उत्तर पार्क">हिन्दी</a></li> <li><a href="http://it.uwenku.com/" target="_blank" title="IL Programma di chiedere Park">Italiano</a></li> <li><a href="http://ja.uwenku.com/" target="_blank" title="プログラム問答園区">日本語</a></li> <li><a href="http://ko.uwenku.com/" target="_blank" title="프로그램 문답 단지">한국어</a></li> <li><a href="http://pl.uwenku.com/" target="_blank" title="program o park">Polski</a></li> <li><a href="http://tr.uwenku.com/" target="_blank" title="Program soru ve cevap parkı">Türkçe</a></li> <li><a href="http://vi.uwenku.com/" target="_blank" title="Đáp ứng viên">Tiếng Việt</a></li> <li><a href="http://fr.uwenku.com/" target="_blank" title="Programme interrogation Park">Française</a></li> </ul> </div> </div> </div> </div> </div> </footer>  <script> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?f78a970f17b19a79fc477a3378096f29"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script> </body> </html>