详解HTML5中的Communication API基本使用方法

1.跨文档消息通信
跨文档消息通信可以确保iframe、标签页、窗口间安全地进行跨源通信。它把postMessage API定义为发送消息的标准方式。利用postMessage发送消息非常简单，代码如下所示：
chatFrame.contextWindow.postMessage('Hello,world','http://www.example.com');
接收消息时仅需在页面种增加一个事件处理函数。当某个消息到达时，通过检查消息的来源来决定是否对这条消息进行处理。
消息事件是一个拥有data(数据)和origin(源)属性的DOM事件。data属性是发送方传递的实际消息，而origin属性是发送来源。
postMessage API不仅可以胜任同源文档间的通信，而且在浏览器不允许非同源通信的情况下，postMessage API也很有用。鉴于它的一致性和易用性，在同源文档间通信时也推荐使用postMessage。在JavaScript环境的通信中始终应使用postMessage API，例如使用HTML5 Web Worker通信时。
1.1 理解源安全
HTML5荣光引入源（origin）的概念对域安全进行了阐明和改进。源是在网络上用来建立信任关系的地址的子集。源由规则（scheme）、主机（host）、端口（post）组成。
源的概念中不考虑路径。
HTML5定义了源的序列化。源在API和协议中以字符串的形式出现。
postMessage的安全规则确保了消息不会被传递到非预期的源页面中。当发送消息时，由发送方制定接收方的源。如果发送方用来调用postMessage的窗口不具有特定的源（例如用户跳转到了其他站点），浏览器就不会传送消息。
类似地，接受消息的时候，发送方的源也被作为消息的一部分。为避免伪造，消息源由浏览器提供。接收方可以决定处理哪些消息，以及忽略哪些消息。我们可以保留一份白名单，告诉浏览器仅仅处理可信源的消息。
最好永远不要对来自第三方的字符串求值。再者，要避免使用eval方法处理应用内部字符串。可以通过window.JSON或者json,.org解析器使用JSON。
1.2 跨文档消息通信的浏览器支持情况
常用的做法是检测XMLHttpRequest对象中是否存在withCredentials属性：