RxJS库中是否存在安全问题？

Question

目前，我正在致力于一个在角度框架内使用RxJS的项目。最近的渗透测试报告强调，在应用程序中使用window.postMessage(‘’, ‘*’)可能会导致安全漏洞。通过进一步研究，我们发现Immediate.js文件在RxJS (http://reactivex.io/rxjs/file/es6/util/Immediate.js.html)中可能是这个问题的根源。渗透测试报告指出“如果postMessage()用于在窗口之间传输敏感信息，那么未经授权的窗口也可以检索这些信息”。有人建议使用一个明确的目标窗口，而不是window.postMessage()函数中的通配符(‘*’)字符来解决这个问题。由于这段代码被嵌入到RxJS库中，所以我们对修改它感到不自在，因为它可能会带来一些不良影响。

鉴于上述情况，我想知道：

1. 可以采取什么措施来防止客户端机器上的其他窗口监听这个角度的应用程序？
2. 这在RxJS上是一个已知的问题吗?是否有一个修复方法可用于此？

N.B.渗透测试是由第三方进行的，我们不知道他们可能使用了哪些工具。

Answer 1

从5.5.2升级到version 6似乎解决了这个问题。在更新过程中，按照角度更新站点的建议，rxjs被更新为版本6。我们遵循这个站点提供的步骤，现在运行rxjs 6，它不包括window.postMessage(""，"*")函数，这是在我们的戊级中突出显示的。

@fridoo再次感谢您为我们指明了正确的方向！