1.跨文檔消息通信
跨文檔消息通信可以確保iframe、標簽頁、窗口間安全地進行跨源通信。它把postMessage API定義為發(fā)送消息的標準方式。利用postMessage發(fā)送消息非常簡單，代碼如下所示：
chatFrame.contextWindow.postMessage('Hello,world','http://www.example.com');
接收消息時僅需在頁面種增加一個事件處理函數(shù)。當某個消息到達時，通過檢查消息的來源來決定是否對這條消息進行處理。
消息事件是一個擁有data(數(shù)據(jù))和origin(源)屬性的DOM事件。data屬性是發(fā)送方傳遞的實際消息，而origin屬性是發(fā)送來源。
postMessage API不僅可以勝任同源文檔間的通信，而且在瀏覽器不允許非同源通信的情況下，postMessage API也很有用。鑒于它的一致性和易用性，在同源文檔間通信時也推薦使用postMessage。在JavaScript環(huán)境的通信中始終應使用postMessage API，例如使用HTML5 Web Worker通信時。
1.1 理解源安全
HTML5榮光引入源（origin）的概念對域安全進行了闡明和改進。源是在網(wǎng)絡上用來建立信任關系的地址的子集。源由規(guī)則（scheme）、主機（host）、端口（post）組成。
源的概念中不考慮路徑。
HTML5定義了源的序列化。源在API和協(xié)議中以字符串的形式出現(xiàn)。
postMessage的安全規(guī)則確保了消息不會被傳遞到非預期的源頁面中。當發(fā)送消息時，由發(fā)送方制定接收方的源。如果發(fā)送方用來調(diào)用postMessage的窗口不具有特定的源（例如用戶跳轉到了其他站點），瀏覽器就不會傳送消息。
類似地，接受消息的時候，發(fā)送方的源也被作為消息的一部分。為避免偽造，消息源由瀏覽器提供。接收方可以決定處理哪些消息，以及忽略哪些消息。我們可以保留一份白名單，告訴瀏覽器僅僅處理可信源的消息。
最好永遠不要對來自第三方的字符串求值。再者，要避免使用eval方法處理應用內(nèi)部字符串。可以通過window.JSON或者json,.org解析器使用JSON。
1.2 跨文檔消息通信的瀏覽器支持情況
常用的做法是檢測XMLHttpRequest對象中是否存在withCredentials屬性：