セキュリティの脆弱性を避けるために、MessageEvent
インターフェイスを実装するイベントのorigin
プロパティをいつチェックする必要がありますか?オリジンのプロパティをいつチェックする必要がありますか?
origin属性は、それが初期化された値を返す必要があります。これは、サーバ送信イベントおよびクロスドキュメントメッセージングにおいて、メッセージを送信したドキュメントの起源(通常、ドキュメントのスキーム、ホスト名、およびポートですが、パスまたはフラグメントは表示されません)を表します。
このプロパティは、サーバー送信イベント、Webソケット、ドキュメント間メッセージング、チャネルメッセージング、およびブロードキャストチャネルによって公開されます。
何を知っていますか?私は何に注意する必要がありますか?私は何を覚えておく必要がありますか?
origin
プロパティを確認するのはどのようなシナリオですか?
は私も全くorigin
を確認するか、単にisTrusted
プロパティする必要がありますか?
var websocket = new WebSocket('ws://echo.websocket.org/');
websocket.onmessage = function(e) {
// Can I trust this event?
// Do I need to check e.origin?
};
websocketインスタンスで 'message'イベントのイベントリスナーを登録すると、自分のイベントハンドラが自分自身ではないイベントを受け取ることができますか? – Fred
Webソケットとサーバー送信イベントでは、エンドポイントを信頼する場合はチェックを省略できます。リダイレクトの場合に '.origin'がどのように動作するかは不明です。 – Bergi