Ho esaminato del materiale qui e in altri siti relativi all'utilizzo sicuro di Window.postMessage. C'è un sacco di materiale riguardante le migliori pratiche, ma una delle mie domande è rimasta senza risposta.
Da ciò che sono stato in grado di capire, le informazioni vengono scambiate tra gli iframe utilizzando le API del browser interno, senza alcuna comunicazione di rete. In altre parole, anche se i due iframe che scambiano informazioni tra di loro sono ospitati in due server diversi provenienti da due domini diversi, non vedrò alcun traffico scambiato tra questi due server quando i messaggi vengono pubblicati. Prima di implementarlo sul mio sito web, voglio solo essere sicuro - In che modo il browser convalida l'origine del messaggio inviato? C'è un modo in cui un utente malintenzionato può "falsificare" un messaggio e farlo apparire come se fosse originato da un iframe legittimo? Immagino che la risposta sia no perché ciò richiederebbe il reverse engineering del browser e l'esposizione delle sue API interne, ma voglio solo assicurarmi che la mia comprensione sia corretta.
Grazie in anticipo