Web Messaging: comunicazione tra siti diversi. La sicurezza
Vediamo cosa è ed a cosa serve il Web Messaging in HTML5.
Il web messaging in HTML5 (o cross-document messaging) è un’API che definisce un meccanismo di comunicazione tra documenti HTML provenienti da diverse fonti o diversi domini. Questo protocollo è stato pensato per incrementare la sicurezza dei siti web: l’obiettivo è bloccare attacchi informatici di tipo XSS o cross-site scripting. Un attacco di questo genere si verifica quando un malintenzionato inserisce codice maligno che modificherà la pagina visitata.
Questo standard è supportato da tutti i browser in uso. Come funziona il tutto? Le operazioni vengono gestite dall’API postMessage, uno script che, in parole povere, crea un collegamento tra i punti di partenza ed arrivo delle informazioni.
Esempio: se un documento A vuole inviare un messaggio ad un documento B, uno script presente nel documento A richiama il metodo postMessage sull’oggetto Window del documento B.
<iframe id="iframe" src="http://www.output.esempio.com/output.html"></iframe><script> ... var consoleOutput=document.getElementById("iframe").contentWindow; consoleOutput.postMessage('message','http://www.output.esempio.com'); ...</script>
Maggiori informazioni su questa specifica HTML5 web messaging possono essere trovate sul sito del W3C.