跨域 iframe 安全通信与 JavaScript 函数注入的深度实践

1. 同源策略与跨域通信的基本原理

同源策略（Same-Origin Policy）是浏览器安全模型的核心机制，限制了不同源之间的 DOM 访问、Cookie 读取和脚本执行。当一个页面嵌入跨域的 iframe 时，无法直接访问其内部的 window 或执行脚本。

实现跨域通信的标准方式是使用 window.postMessage() API，它允许不同源的窗口间传递消息，但需配合严格的消息验证机制。

• postMessage 是唯一被广泛支持的跨域通信手段
• 消息是异步发送，基于事件驱动模型
• 数据必须可序列化（受限于 structured clone algorithm）

2. postMessage 的常见挑战与风险分析

3. 安全的消息通信设计原则

为确保通信安全，必须遵循以下核心原则：

1. 严格 origin 校验：始终检查 event.origin 是否在白名单中，避免通配符 *
2. 结构化消息格式：采用统一的消息体结构，包含 type、payload、nonce 等字段
3. 双向身份确认：通过握手协议建立可信通道，防止中间人伪造响应
4. 防重放攻击：使用 nonce 或 timestamp 防止消息重放

function sendMessage(targetWindow, targetOrigin, message) {
  const wrappedMsg = {
    type: message.type,
    payload: message.payload,
    nonce: generateNonce(), // 唯一标识
    timestamp: Date.now()
  };
  targetWindow.postMessage(wrappedMsg, targetOrigin);
}

window.addEventListener('message', function(event) {
  if (!isTrustedOrigin(event.origin)) return; // 白名单校验
  if (!isValidMessage(event.data)) return;     // 结构校验
  handleIncomingMessage(event.data);
});

4. 实现安全的函数调用与回调机制

由于 postMessage 不支持函数序列化，可通过“函数注册 + 消息代理”模式模拟远程函数调用：

• 主页面维护一个回调函数映射表：callbackMap[nonce] = fn
• 发送请求时携带 nonce，子页面执行后回传结果
• 主页面根据 nonce 查找并执行对应回调

权限控制方面，建议对敏感操作进行作用域划分，例如：

// 权限定义
const PERMISSIONS = {
  'read:data': true,
  'write:storage': false,
  'execute:script': false
};

function canInvoke(method) {
  return PERMISSIONS[method] === true;
}

5. 使用 Channel Messaging 提升通信安全性

MessageChannel 提供了更安全的端到端通信通道，避免全局广播风险。其核心优势在于：

• 私有通道，消息不会被其他监听器捕获
• 可与 postMessage 结合传递 port
• 天然支持双向流式通信

const channel = new MessageChannel();
const port1 = channel.port1;
const iframe = document.querySelector('iframe');

// 将 port 发送给 iframe
iframe.contentWindow.postMessage('init', 'https://third-party.com', [channel.port2]);

port1.onmessage = function(event) {
  console.log('Received via port:', event.data);
  port1.postMessage({ response: 'ack' });
};

6. 防御中间人篡改与第三方页面风险

当子页面由第三方控制时，通信内容可能被注入脚本劫持。应采取以下措施：

• 强制 HTTPS，防止传输层窃听
• 使用 Subresource Integrity (SRI) 加载关键资源
• 在消息中加入签名（如 HMAC-SHA256），密钥通过安全通道协商
• 定期轮换通信密钥，降低泄露影响

Mermaid 流程图展示安全通信握手过程：

7. 执行上下文隔离与沙箱设计

为防止注入代码污染全局环境，推荐使用以下策略：

• 在子页面中通过 Content Security Policy (CSP) 限制脚本执行
• 使用 Shadow DOM 或 iframe sandbox 创建隔离环境
• 通过代理对象封装对外暴露的 API 接口

const apiProxy = new Proxy({}, {
  get(target, prop) {
    if (allowedMethods.includes(prop)) {
      return (...args) => sendViaPort({method: prop, args});
    }
    throw new Error(`Method ${prop} not allowed`);
  }
});