javascriptを使用してポップアップウィンドウを起動しています。これは、javascript "postMessage()"を使用して、ポップアップウィンドウとその親ウィンドウ間のクロスドメインメッセージングに関するセキュリティに関する質問です。AWS S3バケットのhtmlファイルからpostMessage()ウィンドウをポップアップ
ポップアップウィンドウのhtmlファイルはAWSにあります。親ウィンドウは別のドメインにあります。
したがって、ユーザーは親ウィンドウにアクセスし、ボタンをクリックすると、AWSからポップアップウィンドウが起動します。次に、ポップアップウィンドウは、 "postMessage()"を介して親ウィンドウと通信します。親ウィンドウで
、私はこのURLからメッセージを受信するドメインを設定します。そうのようなhttps://s3.amazonaws.com:
if(e.origin != 'https://s3.amazonaws.com') {
return;
}
これらの質問のいずれかを答えることができる場合は、それが参考になります。どうもありがとうございました。これは、このURLのすべてのファイルが親ウィンドウにメッセージを送信できることを意味しますか?これはセキュリティリスクですか? AWSの特定のHTMLファイルからのメッセージのみが受け入れられるように指定する方法はありますか?私は雇用者が所有し、維持管理している内部サーバーにポップアップhtmlファイルをホストする必要がありますか?
ありがとうございます。