window.postMessage, question sécurité ? [Résolu]

maigrichon · 24/11/2011, 11h09

Bonjour,

Je recherchais un moyen pour communiquer en JS en cross-domain et je suis tombé dernièrement sur un article parlant de postMessage. J'ai testé cette API et elle correspond complètement à mes besoins. Cependant j'ai une interrogation concernant la sécurité. Pour ceux qui ne connaissent pas cette fonction, elle admet 2 paramètres qui sont le message et l'origine du message.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

window.postMessage(message, origin);

Si j'ai bien compris, l'origine permet de vérifier que le message est bien envoyé par le domaine attendu. Ma question est la suivante : si une personne malintentionnée arrive à avoir la référence vers ma fenêtre, il lui suffit simplement de donner le bon nom de domaine pour pouvoir envoyer des message ? N'aurait-il pas été plus judicieux de récupérer le nom de domaine émetteur en interne dans la fonction postMessage ?

En bref, j'aurais voulu savoir ce que vous pensez de cette API, est-elle suffisament sécurisée pour être utilisée en production à grande échelle ?

SpaceFrog · 24/11/2011, 11h29

Je ne pense pas que l'on, puisse sérieusement demander à JS un quelconque niveau de sécurité ...
JS étant interprété coté client ...

maigrichon · 24/11/2011, 12h20

En fait je me suis trompé, je croyais que le deuxième paramètre était origin, l'origine du message mais en fait c'est targetOrigin, la cible du message.

L'origine est renseignée automatiquement, du coup pas de problème, je passe en résolu, pardonnez-moi pour le topic inutile...

24/11/2011, 11h09	#1
maigrichon Invité de passage Développeur Web Inscription : novembre 2011 Messages : 4 Détails du profil Informations personnelles : Sexe : Localisation : France, Vendée (Pays de la Loire) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : novembre 2011 Messages : 4 Points : 4 Points : 4	window.postMessage, question sécurité ? Bonjour, Je recherchais un moyen pour communiquer en JS en cross-domain et je suis tombé dernièrement sur un article parlant de postMessage. J'ai testé cette API et elle correspond complètement à mes besoins. Cependant j'ai une interrogation concernant la sécurité. Pour ceux qui ne connaissent pas cette fonction, elle admet 2 paramètres qui sont le message et l'origine du message. Code : Sélectionner tout - Visualiser dans une fenêtre à part window.postMessage(message, origin); Si j'ai bien compris, l'origine permet de vérifier que le message est bien envoyé par le domaine attendu. Ma question est la suivante : si une personne malintentionnée arrive à avoir la référence vers ma fenêtre, il lui suffit simplement de donner le bon nom de domaine pour pouvoir envoyer des message ? N'aurait-il pas été plus judicieux de récupérer le nom de domaine émetteur en interne dans la fonction postMessage ? En bref, j'aurais voulu savoir ce que vous pensez de cette API, est-elle suffisament sécurisée pour être utilisée en production à grande échelle ?
	00

24/11/2011, 11h29	#2
SpaceFrog Rédacteur/Modérateur Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Inscription : mars 2002 Messages : 30 071 Détails du profil Informations personnelles : Sexe : Localisation : Royaume-Uni Informations professionnelles : Activité : Développeur Web Php Mysql Html Javascript CSS Apache - Intégrateur - Analyste Programmeur Secteur : Industrie Informations forums : Inscription : mars 2002 Messages : 30 071 Points : 45 202 Points : 45 202	Je ne pense pas que l'on, puisse sérieusement demander à JS un quelconque niveau de sécurité ... JS étant interprété coté client ... __________________ Ma page Developpez Président du CCMPTP (Comité Contre le Mot "Problème" dans les Titres de Posts) Deux règles du succès: 1) Ne communiquez jamais à quelqu'un tout votre savoir... Votre post est résolu ? Alors n'oubliez pas le Tag réalisations :www.planet-languages.com\|www.saftair.com\| www.ouestisol.fr \| www.sebemex.fr \| www.extramiante.fr \| www.sistac-alizay.fr \| www.acoustishop.fr \| www.litt.fr \| www.ouestventil.fr
	00

24/11/2011, 12h20	#3
maigrichon Invité de passage Développeur Web Inscription : novembre 2011 Messages : 4 Détails du profil Informations personnelles : Sexe : Localisation : France, Vendée (Pays de la Loire) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : novembre 2011 Messages : 4 Points : 4 Points : 4	En fait je me suis trompé, je croyais que le deuxième paramètre était origin, l'origine du message mais en fait c'est targetOrigin, la cible du message. L'origine est renseignée automatiquement, du coup pas de problème, je passe en résolu, pardonnez-moi pour le topic inutile...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email