postMessage是html5中实现跨域通信的核心方法，允许不同源窗口间安全传递数据。通过window.postMessage(data, targetOrigin)发送消息，目标窗口监听message事件接收数据。关键步骤包括：等待iframe加载完成后再发送消息、指定具体targetOrigin避免使用”*”、验证Event.origin确保来源可信、对数据进行检查过滤。典型应用场景为iframe、弹窗等跨域交互。正确配置origin校验可确保通信安全高效。

在html5中，postMessage 是实现跨域通信的核心方法。它允许不同源的窗口之间安全地传递数据，解决了传统同源策略带来的限制。适用于 iframe、弹窗、多标签页等场景。

postMessage 是什么？

postMessage 是 window 对象的一个方法，用于向其他窗口发送消息，不论它们是否同源。接收方通过监听 message 事件来获取数据。

语法如下：

window.postMessage(data, targetOrigin);

• data：要发送的数据（字符串或对象）
• targetOrigin：目标窗口的源（协议 + 域名 + 端口），如 “https://example.com”。可设为 “*” 表示任意源，但存在安全风险

发送跨域消息

假设主页面嵌入了一个来自不同域的 iframe：

立即学习“前端免费学习笔记（深入）”；

<iframe id=”myFrame” src=”https://other-domain.com/page.html“></iframe>

在主页面中获取 iframe 的窗口对象并发送消息：

代码小浣熊

代码小浣熊是基于商汤大语言模型的软件智能研发助手，覆盖软件需求分析、架构设计、代码编写、软件测试等环节

51

查看详情

const iframe = document.getElementById(‘myFrame’);
iframe.onload = function() {
  iframe.contentWindow.postMessage(‘Hello from parent!’, ‘https://other-domain.com’);
};

注意：必须等待 iframe 加载完成后再发送消息。

接收跨域消息

在目标页面（如 https://other-domain.com/page.html）中监听 message 事件：

window.addEventListener(‘message’, function(event) {
  // 验证消息来源的安全性
  if (event.origin !== ‘https://your-main-site.com’) {
    return;
  }

  // 可选：回复消息
  event.source.postMessage(‘Message received!’, event.origin);
});

event 对象包含以下关键属性：

• data：发送的数据
• origin：发送方的源，用于安全校验
• source：发送消息的窗口引用，可用于回复

安全使用建议

为避免xss等安全问题，使用 postMessage 时应注意：

• 不要将 targetOrigin 设为 “*”，应明确指定可信源
• 始终验证 event.origin，确保消息来自预期的源
• 对收到的数据进行类型检查和过滤
• 避免在消息中暴露敏感信息

基本上就这些。只要发送和接收两端都正确配置 origin 校验，postMessage 就能安全高效地实现跨域通信。不复杂但容易忽略细节。

以上就是HTML5代码如何实现