Bonjour,

Je recherchais un moyen pour communiquer en JS en cross-domain et je suis tombé dernièrement sur un article parlant de postMessage. J'ai testé cette API et elle correspond complètement à mes besoins. Cependant j'ai une interrogation concernant la sécurité. Pour ceux qui ne connaissent pas cette fonction, elle admet 2 paramètres qui sont le message et l'origine du message.

Code : Sélectionner tout - Visualiser dans une fenêtre à part
window.postMessage(message, origin);
Si j'ai bien compris, l'origine permet de vérifier que le message est bien envoyé par le domaine attendu. Ma question est la suivante : si une personne malintentionnée arrive à avoir la référence vers ma fenêtre, il lui suffit simplement de donner le bon nom de domaine pour pouvoir envoyer des message ? N'aurait-il pas été plus judicieux de récupérer le nom de domaine émetteur en interne dans la fonction postMessage ?

En bref, j'aurais voulu savoir ce que vous pensez de cette API, est-elle suffisament sécurisée pour être utilisée en production à grande échelle ?