什麼時候需要檢查origin
屬性實現MessageEvent
接口的事件以避免安全漏洞?我什麼時候需要檢查起源屬性?
origin屬性必須返回它初始化的值。它表示在服務器發送的事件和跨文檔消息中發送消息的文檔的起源(通常是文檔的方案,主機名和端口,但不包括其路徑或片段)。
此屬性由服務器發送的事件,Web套接字,跨文檔消息傳遞,通道消息傳遞和廣播通道公開。
我應該知道什麼?我需要提防什麼?我應該記住什麼?
檢查origin
屬性有什麼意義?
我甚至需要檢查origin
或僅僅isTrusted
屬性?
var websocket = new WebSocket('ws://echo.websocket.org/');
websocket.onmessage = function(e) {
// Can I trust this event?
// Do I need to check e.origin?
};
如果我在websocket實例上爲'message'事件註冊事件偵聽器,我的事件處理程序是否可以接收不是來自它自身的事件? – Fred
我認爲在網絡套接字和服務器發送的事件中,如果您信任端點,您可以省略檢查。不確定'.origin'如何在重定向的情況下工作。 – Bergi