2
我很难理解对postMessage()方法的targetOrigin使用通配符时的安全问题。您调用postMessage()的窗口是否已经有我们发送数据的来源?有人会如何干预?使用window.location.origin
将targetOrigin设置为窗口的原点会不好?为什么使用'*'作为postMessage的targetOrigin存在安全风险?
我明白在接收端检查事件源的重要性(如图所示here),但似乎无法包装我的头,为什么当发送端使用通配符作为targetOrigin时,该窗口已具有特定的来源。