SonarJs仍然显示关于postMessage跨域问题的警告。

Question

错误消息是"make sure this cross-domain message is being sent to the intended domain"。

此检查规则来自RSPEC-2819

作者不应在包含任何机密信息的邮件中使用targetOrigin参数中的通配符关键字( *)，因为否则无法保证消息只传递给收件人。

我假设它要求*不能用作targetOrigin，但当我将预期域作为targetOrigin使用时，它仍然显示警告，如下所示：

​

​

有人能告诉我怎么通过这张支票吗？

如能提供任何帮助，将不胜感激。

Answer 1

此规则仅检测是否在具有包含postMessage的名称的对象上调用方法window。源代码：PostMessageCheck.java。要绕过它，只需将contentWindow对象分配到不同的对象，如下所示：

var content = this.elem.contentWindow;

content.postMessage('your message', window.location.origin);

Answer 2

在sonarQube中也遇到了类似的问题。下面的fix成功了。只需摆脱直接使用窗口对象。

实际代码：

window.parent.postMessage("data", parenturl);

修正：

var content=window;
content.parent.postMessage("data",parenturl);