Slide 20
Slide 20 text
20
20
セキュリティ的な懸念の解消のために
プレビュー機能の開発
● window.postMessageはどこからでも送れる
○ 何もしないと関係ないサイトから iframe などでデータを送れる
○ 存在しないアプリページが作れる機能になる
○ セキュリティ的によくない ⚠
● 送られたデータを受け取るときに送信元を精査
○ postMessage を受け取るイベントメッセージ中に Origin が含まる
例) event.origin ➡ “https://developer.shop-pro.jp”
○ ここに入る値を設定しているのはブラウザ側なので偽装はできない