开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Gmail图像问题-无法在‘DOMWindow’上执行'postMessage‘：提供的目标源('<URL>')没有

postMessage() 方法是 HTML5 中的一种跨文档通信机制，它允许在不同的窗口或框架之间安全地传递消息。在给定的问题中，出现了一个错误提示：无法在 'DOMWindow' 上执行 'postMessage'，并指出提供的目标源没有。

这个错误通常发生在尝试使用 postMessage() 方法向一个不同源的窗口发送消息时。不同源是指协议、域名或端口号中有一个不同的窗口。浏览器出于安全考虑，限制了跨源通信，以防止恶意网站窃取数据或进行其他攻击。

要解决这个问题，可以采取以下几个步骤：

确保目标源的正确性：检查提供的目标源是否正确，并确保它与当前窗口的源相匹配。目标源应该是一个有效的 URL，包括协议、域名和端口号。
使用正确的窗口对象：确保在调用 postMessage() 方法时使用正确的窗口对象。通常，可以使用 window.parent 或 window.opener 来引用父窗口或打开当前窗口的窗口。
处理目标窗口的加载状态：如果目标窗口尚未完全加载，尝试在加载完成之前发送消息可能会导致错误。可以通过在目标窗口上添加事件监听器来处理加载完成事件，然后再发送消息。
考虑使用其他通信方式：如果无法解决跨源通信的问题，可以考虑使用其他通信方式，如服务器端转发、代理等。

总结起来，当出现无法在 'DOMWindow' 上执行 'postMessage' 的错误时，需要检查目标源的正确性、使用正确的窗口对象、处理目标窗口的加载状态，并考虑使用其他通信方式。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

postMessage与postMessage跨域

想要完成“一个域”与“另一个域”的通信，最少需要两个步骤，其一是发送消息，其二是接收消息。在postMessage的这种跨域方式当中，提供了一个postMessage方法和一个message事件。...2.2 targetOrigin：字符串参数该参数用于指明目标窗口的源，协议+主机+端口号[+URL]，URL会被忽略，所以可以不写如果希望信息可以传递给任意窗口，可以将参数设置为"*"。...3 message事件的常用属性事件的属性存在于什么地方呢？事件的各类属性都存储在参数当中。...data：消息 origin：消息来源地址 source：源DOMWindow对象 4 postMessage实现跨域的核心知识 4.1 需要使用到iframe标签（依赖于iframe标签实现A——>B...HTML5学堂-图解：B域的html文件是通过iframe标签引入到A域中；蓝色部分为A域的html文件要执行的功能；橙色部分为B域的html文件要执行的功能。 A域中的a.html的代码 <!

3K6 0

解决 DOM XSS 难题

它没有执行任何来源检查——对于漏洞猎手来说总是一个好兆头，因为消息可以从任何攻击者控制的域发送。是window.settingsSync用来做什么的？...现在domain指出bad-.my.website，攻击者控制的有效域向 POST 请求提供了恶意负载。我malicious.php在我的服务器上创建了通过捕获来自源目标的响应来发送有效响应。...，因此没有实际影响；它就像在外部域上执行 XSS 一样好。...幸运的是，该domain参数似乎允许我控制 GET 请求的域。但是，当我将其设置为我自己的域时，请求无法执行并引发内容安全策略 (CSP) 错误。...然后我注入了一个脚本标签，src指向通过 CSP 但最终重定向到最终有效负载的开放重定向。结论由于我的 XSS 报告的复杂性和绕过强化执行环境的能力，两家公司都为我的 XSS 报告提供了奖金。

1.8K5 0

跨域通信

更详细的说明可以看下表：特别注意两点：第一，如果是协议和端口造成的跨域问题“前台”是无能为力的，第二：在跨域问题上，域仅仅是通过“URL的首部”来识别而不会去尝试判断相同的ip地址对应着两个域或两个域是否在同一个...ip上。...（后台），该地址返回的javascript方法会被执行，另外URL中可以传入一些参数，该方法只支持GET方式提交参数。...在发送消息的时候，如果目标窗口的协议、主机地址或端口这三者的任意一项不匹配targetOrigin提供的值，那么消息就不会被发送；只有三者完全匹配，消息才会被发送。...对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。

1.3K4 0

如何利用postMessage窃取编辑用户的Cookie信息

在HTML5中，Window.postMessage() 方法可以安全地实现跨源通信。...window.postMessage() 方法提供了一种受控机制来规避此限制，只要正确的使用，这种方法就很安全。...我们要思考的是，按照postMessage规范来说，如果消息发送的目标窗口target参数是星号*，表示无限制，也即可以发送到任何引用了子页面的域名中去。这样的话，就会导致一些不安全的问题出现。...所以，接下来，我继续检查其中的代码，查看 ns 和 wOrigin 在传递给postMessage方法前的一些过滤机制，啊，竟然没有！那这样的话，我们就可以想办法来构造exploit看看了。...当然没有，不要忙着庆祝，这其中可能会有一些遗漏的东西，我们一起来看看。由于目标系统包含postMessage方法的文件只有57行代码，我决定好好分析一下。

1.5K4 0

JSONP && CORS

所以可以把需要跨域的请求改成用script脚本加载即可，服务器返回执行字符串，但是这个字符串是在window全局作用域下执行的，你需要把他返回到你的代码的作用域内，这里就需要临时创建一个全局的回调函数，...基本上，它就像是跨域的AJAX，但不是浏览器跟服务器之间交互，而是在两个客户端之间通信 postMessage方法的第一个参数是具体的信息内容，第二个参数是接收消息的窗口的源（origin），即"协议...以上demo简单解决了前端跨域通信，跨域带cookie等问题，在逻辑上完全可以实现跨域通信。但是对于不支持PostMessage特性的老版浏览器是行不通的。...服务端代理在数据提供方没有提供对JSONP协议或者window.name协议的支持，也没有对其它域开放访问权限时，我们可以通过server proxy的方式来抓取数据。...HTTP请求是在服务器端进行的，客户端并没有产生跨域的ajax请求。

1.3K2 0

Web Worker 中的 importScripts 和 baseHref 同源策略绕过问题

正文正如所知，所有的浏览器在试图访问不同源上的资源时会加强一些限制。当然我们可以播放或渲染来自不同域的音乐和图像，然而由于存在同源策略，我们并不能够读取这些资源的具体内容。...比如我们可以在canvas上绘制一幅图像，但不能使用 getImageData 方法读取到它的具体像素信息，除非该被加载的资源和加载主体是在相同的域下的。该规则同样适用于脚本。...实际上一系列尝试都会惹怒浏览器，然后马上抛出安全错误问题。那我们就试着在 cracking.com.ar 上创建一个 bing.com 的Worker，看看将会发生什么。 ? 看到了什么？...这时导入的脚本会在我们的上下文（源）执行，错误信息依然会泄漏，但是我们将能够创建函数或者变量来在让 bing 的脚本跑的更远一点。...作为奖励，我们会通过主线程获取到的参数，允许我们通过这个函数获取到一点更多的自由信息，可是先别兴奋（一颗赛艇），这是在我们的上下文源上运行的。

1.5K4 0

Web性能优化之Worker线程(上).md

没有为工作线程提供清理的机会，脚本会突然停止 DedicatedWorkerGlobalScope 在专用工作线程内部，全局作用域是 DedicatedWorkerGlobalScope 的实例。...DedicatedWorkerGlobalScope 在 WorkerGlobalScope 基础上增加了以下属性和方法 name：可以提供给 Worker 构造函数的一个可选的字符串标识符。...「执行」会严格按照它们在参数列表的顺序进行。 ❝脚本加载受到常规 CORS 的限制，但在工作线程内部可以「请求来自任何源」的脚本 ❞ 在这种情况下，所有导入的脚本也会「共享作用域」。...= 3628800 对于传递「简单的消息」，使用 postMessage()在主线程和工作者线程之间传递消息。并且没有 targetOrigin 的限制。...array buffers ❞ 结构化克隆算法 ❝结构化克隆算法可用于在两个「独立上下文间」共享数据 ❞ 在通过 postMessage()传递对象时，浏览器会遍历该对象，并在目标上下文中生成它的一个

1.1K1 0

安全研究 | Facebook中基于DOM的XSS漏洞利用分析

需要注意的是，目标源需要设置为our.intern.facebook.com。...现在，我们知道postMessage方法仅会提供给Facebook的员工使用，因为our.intern.facebook.com这个域名只有他们才拥有完整的访问权，如果不是Facebook的员工，则会被重定向至...XSS漏洞的发现和利用 Facebook Canvas应用程序托管在apps.facebook.com上，如果你访问了这个域名所托管的应用程序，你将会发现Facebook会加载一个iframe中的URL...URL中的“appTabUrl”字符串中的URL没有检查是否以http/https开头，因此我们就可以使用JavaScript来实现利用XSS漏洞了。...，然后重定向到存在漏洞的页面中，并执行alert(1)，而我设置的PoC将会窃取用户的访问令牌，这个令牌将直接允许我们接管目标Facebook账号。

6531 0

前后端数据交互(七)——前端跨域解决方案(全)

图片服务器此时就出现请求跨域问题了。...，我们发现它们有个共同特点就是可以引入任意域名下的资源，不存在跨域问题。...3.3、proxy 代理因为服务器间的数据交互没有跨域限制，所以通过一个中间代理服务器请求目标服务器的数据，也就是前端服务器发送请求到代理服务器，代理服务器再请求目标服务器，将数据返回给前端服务器。...window.postMessage() 方法提供了一种受控机制来规避此限制，只要正确地使用，这种方法就很安全。...实现原理：a.html 和 proxy.html必须在一个源内，b.html在另外一个源内，a与b实现跨域通信，就是借助第三个 proxy.html 页面，先把地址重新指向到同源中。

4622 0

跨标签页通信的8种方式（上）

引言--跨标签页通信是指在浏览器中的不同标签页之间进行数据传递和通信的过程。在传统的Web开发中，每个标签页都是相互独立的，无法直接共享数据。...Service worker 是一个注册在指定源和路径下的事件驱动worker。它采用 JavaScript 文件的形式，控制关联的页面或者网站，拦截并修改访问和资源请求，细粒度地缓存资源。...window.open()open()open(url)open(url, target)open(url, target, windowFeatures)url: 一个字符串，表示要加载的资源的 URL...windowFeatures: 一个字符串，包含以逗号分隔的窗口特性列表。window.postMessage() 方法可以安全地实现跨源通信。...window.postMessage() 方法提供了一种受控机制来规避此限制，只要正确的使用，这种方法就很安全。

4653 0

web - pwa

在 `Web Worker` 中，我们可以使用` postMessage` 进行通信，那么在 SW（Service Worker）中同样是可以的。...例如： var table = WebCaches.table('v1'); table.open(); // 正常执行没问题 table.open(); // 第二次使用无效后面会介绍一种简便的方法进行简写...或者通过 new Request(url)实例化得来的。...@param Array: 里面就是 url/request 的数组。...这里提供了一个工具函数 `clone` 用来生成可重复使用的对象。

2.3K1 0

web messaging与Woker分类：漫谈postMessage跨线程跨页面通信

window.postMessage window.postMessage() 方法可以安全地实现跨源通信。...使用postMessage将数据发送到其他窗口时，始终指定精确的目标origin，而不是*。无法检查origin和source属性会导致跨站点脚本攻击。...worker.postMessage Worker 接口是Web Workers API 的一部分，代表一个后台任务，创建一个专用Web worker，它只执行URL指定的脚本，并且在工作线程中执行。...事实上，浏览器内部的运行机制是，先将通信内容串行化，然后把串行化后的字符串发给 Worker，后者再将它还原。这会造成性能问题！...在跨文档通信和通道通信中，lastEventId的值一般是个空字符串；lastEventId应用在服务器端发送事件上。发送信息中如果没有ports, 则ports属性值就是个长度为0的数组。

2K3 0

这次全了，8种超详细Web跨域解决方案！

jsonp跨域缺点：没有关于调用错误的处理。只支持GET请求，不支持POST请求以及大数据量的请求，而且也无法拿到相关的返回头，状态码等数据。...（4）allow-access-from-identity 允许有特定证书的请求域跨域访问目标域上的资源。...通信数据类型及长度均受限，且数据外显在url上，存在一定安全风险。...otherWindow 目标窗口的window对象，比如iframe的contentWindow属性、执行window.open返回的window对象等。..., url); }, false); postMessage方案优点：可以解决多种类型的前端跨域通信问题； postMessage方案缺点：兼容性方面相对差一点，IE8及以下浏览器不支持该方法

2.4K3 0

HTML 5 Web Workers 的基本信息

遗憾的是，由于受到浏览器 JavaScript 运行时的限制，所有这些操作都无法同时进行。脚本是在单个线程中执行的。...所有这些功能确实都是异步运行的，但没有阻碍未必就意味着并行。系统会在生成当前执行脚本后处理异步事件。好消息是，HTML5 为我们提供了优于这些技巧的技术。...使用入门 Web Worker 在独立线程中运行。因此，它们执行的代码需要保存在一个单独的文件中。但在保存代码前，我们要先在您的主网页上创建新的 Worker 对象。...加载外部脚本在使用这些技术内嵌 Worker 代码时，importScripts() 只会在您提供绝对 URI 的情况下生效。如果您尝试传递相对 URI，浏览器就会提示出现安全错误。...这可以确保外部脚本是从同一来源导入的。假设您的主应用是在 http://example.com/index.html 上运行的： ...

1.2K1 0

web跨域解决方案

特别注意两点： 1、如果是协议和端口造成的跨域问题“前台”是无能为力的　　2、在跨域问题上，域仅仅是通过“URL的首部”来识别而不会去尝试判断相同的ip地址对应着两个域或两个域是否在同一个ip上。...，这个页面与它里面的iframe框架是不同域的，所以我们是无法通过在页面中书写js代码来获取iframe中的东西的。　　...缺点：只有在主域相同的时候才能使用该方法 4、HTML5的postMessage 原理：没啥原理，就是一个html5所提供的一个API....--->HTML5 window.postMessage是一个安全的、基于事件的消息API。　在需要发送消息的源窗口调用postMessage方法即可发送消息。...win = window.parent; 　　4、 var win = window.opener(); 发送消息：找到源window对象后，即可调用postMessage API向目标窗口发送消息

2.7K10 0

htm5新特性

新增的API Canvas API 上文提到的canvas元素可以为页面提供一块画布来展示图形。结合Canvas API，就可以在这块画布上动态生成和展示各种图形、图表、图像以及动画了。...Canvas本质上是位图画布，不可缩放，绘制出来的对象不属于页面DOM结构或者任何命名空间。不需要将每个图元当做对象存储，执行性能非常好。...跨源HTTP请求包含一个Origin头部，它为服务器提供HTTP请求的源信息。...要连接远程主机，只需要新建一个WebSocket实例，提供希望连接的对端URL。 tel元素，表示电话号码。 email元素，表示电子邮件地址文本框。 url元素，表示网页的url。...因此，持续时间较长的计算，回阻塞UI线程，进而导致无法在文本框中填入文本，单击按钮等，并且在大多数浏览器中，除非控制权返回，否则无法打开新的标签页。

1.8K2 0

从 JS 文件分析到 XSS 的一种方法

为了描述这项研究的影响，值得一提的是，所描述的研究也适用于包含 cmp3p.js 文件的任何其他主机。 0x01 浏览器的跨源通信为了更好地理解此漏洞，浏览器实现的在源之间进行通信的一些机制。...().indexOf("javascript:") }, 如果作为函数参数提供的 URL 在开头包含javascript: string，则应将其视为不安全并返回 -1（并停止进一步执行）。...我们可以通过提供代码作为 URI（在 src 属性中）使用元素轻松执行 Javascript 代码，通过使用特殊的 URI 模式/协议，javascript。...这就是之前执行isSafeUrl()函数的原因。那么我们如何仍然可以在开始时传递包含 javascript 模式的 URL 呢？...2.在循环中执行带有负载的 window.opener.postMessage() 函数。

2691 0

MIT 6.858 计算机系统安全讲义 2014 秋季（二）

可以在 foo.com 框架上执行各种操作 Facebook 框架的内联 JS 无法对 foo.com 框架执行任何操作但它可以使用postMessage() API 与 foo.com...最终实验室线程用户级调度（例如，以便互斥量起作用）在启动时将线程复用到固定数量的线程上在开始时分配固定数量的 TCS 杂项用于可信随机源的 RDRAND 没有...在旧时代，它是一个简单的客户端/服务器架构（客户端是您的 Web 浏览器，服务器是网络上的一台机器，可以向您的浏览器提供静态文本和图像）。...攻击者的设置和目标与以前相同。利用向量：攻击者页面在 iframe 中加载一个候选 URL。...identd（“认证服务”）：设计不佳，没有真正的认证。电子邮件：真正的问题，但目前没有实际解决方案。认证与授权。例如，PGP 无法解决垃圾邮件问题。

1811 0

Web Worker 常见使用问题和解决方案

问题汇总new Worker(aURL, options) URL 必须遵守同源策略。同源策略是浏览器的一种安全特性，限制了在不同源（协议、域名、端口）之间的 JavaScript 代码的访问。...这意味着在 Web Worker 中，只能加载与当前页面在同一源下的脚本，否则会触发安全错误。Web Worker中限制了部分Web API。...这是因为 Web Workers 是在独立的线程中运行的，与主线程分离，并且没有直接的访问主线程的 DOM 或 JavaScript 运行环境的能力。...({ type: 'localStorageData', value }); }};解决数据通信问题Web Workers 默认情况下是无法直接共享内存的，因为它们在独立的线程中运行，拥有各自的运行环境和内存空间...Atomics API 则提供了一组原子操作，用于在共享的内存中进行同步和协调访问。

1400 0

前端 | 解决跨域问题方案

如果是服务器跨域向多个不同的服务器发送请求就不会有跨域问题存在。因此，我们可以让浏览器只向一个服务器方式请求，让这个服务器代替浏览器去不同的服务器上请求资源再返回给浏览器。...暴露出来的或者浏览器所发起的url都是nginx的url，nginx去跨域服务器和ui服务器获取响应，返给浏览器，这样就没有跨域问题了。...对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。...window.postMessage(message, targetOrigin, [transfer])，有三个参数： message是向目标窗口发送的数据； targetOrigin属性来指定哪些窗口能接收到消息事件...source：对发送消息的窗口对象的引用; 您可以使用此来在具有不同origin的两个窗口之间建立双向通信例子：我在a页面执行 var popup = window.open('http://localhost

7240 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭