安全使用postMessage进行iframe与父框架通信

在前端开发中，iframe嵌套是常见需求，但父子框架间的数据通信需要特殊的处理机制。原生postMessage API虽然功能强大，但在实际使用中存在诸多痛点

### 概述
在前端开发中，iframe嵌套是常见需求，但父子框架间的数据通信需要特殊的处理机制。原生`postMessage` API虽然功能强大，但在实际使用中存在诸多痛点：
- 需要手动处理消息来源验证
- 消息格式需要自行规范
- 需要递归查找顶层框架
- 容易与其他消息类型冲突

本文介绍的封装方案解决了这些问题，提供了安全、易用的跨框架通信能力，特别适合微前端架构、第三方组件集成等场景。

---

### 核心功能亮点
1. **自动来源验证** - 只接收当前域名的消息，防止恶意攻击
2. **消息类型隔离** - 专用`__CFM_MSG__`消息类型避免冲突
3. **智能顶层定位** - 自动递归查找最顶层框架窗口
4. **错误防御机制** - JSON解析异常自动捕获
5. **时间戳追踪** - 每条消息携带时间戳便于调试

---

### 使用场景
1. **微前端架构** - 子应用向基座应用传递数据
2. **第三方组件集成** - 嵌入式组件与宿主页面通信
3. **跨域iframe交互** - 安全可控的跨域数据传递
4. **复杂弹窗系统** - 深层嵌套弹窗与父级交互
5. **多级iframe结构** - 任意层级框架与顶层框架通信

---

### 使用方法

#### 1. 安装与引入
```javascript
// 导入封装模块
import messageBridge from './messageBridge';
```

#### 2. 接收消息（通常在父框架）
```javascript
// 设置消息处理器
messageBridge.setHandler((data, event) => {
  console.log('收到消息:', data);
  
  // 处理业务逻辑
  if (data.action === 'updateUser') {
    updateUserProfile(data.payload);
  }
  
  // 可访问原始事件对象
  console.log('来源框架:', event.source);
});
```

#### 3. 发送消息（子框架->父框架）
```javascript
// 简单数据发送
messageBridge.send({ action: 'ready' });

// 完整参数发送（指定目标源）
messageBridge.send(
  { 
    type: 'auth',
    token: 'Bearer xxxx'
  },
  'https://your-parent-domain.com' // 显式指定目标域名
);
```

#### 4. 双向通信示例
```javascript
// 子框架发送请求
messageBridge.send({
  requestId: 'fetch_123',
  cmd: 'getUserInfo',
  userId: 456
});

// 父框架响应
messageBridge.setHandler((data) => {
  if (data.cmd === 'getUserInfo') {
    const user = fetchUser(data.userId);
    // 定向回复
    messageBridge.send({
      requestId: data.requestId,
      response: user
    });
  }
});
```

---

### 完整封装代码
```javascript
/**
 * 设置消息接收回调
 * @param {Function} callback 消息处理函数
 */
function setMessageHandler(callback) {
  window.addEventListener('message', (event) => {
    // 安全验证：仅接收同源消息
    if (event.origin === window.location.origin) {
      try {
        const msg = JSON.parse(event.data);
        // 专用消息类型过滤
        if (msg.type === '__CFM_MSG__' && callback) {
          callback(msg.data, event);
        }
      } catch (e) {
        /* 忽略解析失败消息 */
      }
    }
  });
}

/**
 * 发送消息到顶层框架
 * @param {*} data 要发送的数据
 * @param {string} [targetOrigin='*'] 目标源
 */
function sendToTop(data, targetOrigin = '*') {
  // 递归查找顶层框架
  const getTop = (w = window) => {
    try {
      return w === w.top ? w : getTop(w.parent);
    } catch {
      return w; // 跨域安全限制处理
    }
  };

// 构造安全消息结构
  const message = JSON.stringify({
    type: '__CFM_MSG__', // 消息类型标识
    data,                // 实际数据
    timestamp: Date.now() // 调试追踪
  });

// 发送消息
  try {
    getTop().postMessage(message, targetOrigin);
  } catch (e) {
    console.error('跨框架通信失败', e);
  }
}

// API导出
export default {
  setHandler: setMessageHandler,
  send: sendToTop
};
```

---

### 最佳实践建议
1. **精确目标源** - 生产环境应指定具体`targetOrigin`，避免使用`'*'`
```javascript
// 推荐方式
messageBridge.send(payload, window.parent.origin);
```

2. **消息协议设计** - 建议包含版本字段
```javascript
{
  ver: '1.0',
  action: 'payment',
  payload: {...}
}
```

3. **异常处理增强** - 在回调中添加错误边界
```javascript
messageBridge.setHandler((data) => {
  try {
    // 业务逻辑
  } catch (e) {
    console.error('消息处理异常', e);
    // 可返回错误信息给发送方
  }
});
```

4. **性能优化** - 高频消息使用节流

```javascript
import { throttle } from 'lodash';

messageBridge.send(
  throttle(data => {...}, 200) // 200ms节流
);

```

---

### 注意事项
1. **跨域限制** - 不同域名通信时，双方必须明确设置`targetOrigin`
2. **敏感数据** - 避免传输未加密的敏感信息
3. **消息量控制** - 大尺寸数据建议使用IndexedDB共享
4. **框架销毁** - 单页应用卸载时需移除事件监听
5. **浏览器支持** - 兼容所有现代浏览器（IE10+）

此封装已在多个生产项目中验证，能有效解决复杂iframe场景的通信问题。通过统一的消息协议和安全的验证机制，开发者可以专注于业务逻辑而非通信细节。