[发明专利]一种安全非同源页面跨域通信的方法

权利要求书

1.一种安全非同源页面跨域通信的方法,其特征在于：包括以下步骤：

步骤1：在页面一中建立广播数据监听事件；

步骤2：在页面一获取页面二所在窗口对象的实例；

步骤3：在页面二发送不同类型的广播，触发页面一监听事件；

步骤4：在页面一和页面二之间进行安全验证和广播数据验证；

步骤5：在页面一和页面二之间进行广播加密，加密过程贯穿整个通信过程；

其中，所述页面一与页面二属于不同的域；

所述广播数据验证的步骤为：

A、在页面二发送广播时，在结构化对象数据中将包含时间戳；

B、在页面一接收广播后，向页面二发送数据时也带上接收到的时间戳；

C、最后由页面二验证，如果时间戳相同，则视为一次完整的发送-接收过程。

2.根据权利要求1所述的一种安全非同源页面跨域通信的方法，其特征在于：所述步骤3中发送不同类型的广播其发送方式为PostMessage方式。

3.根据权利要求2所述的一种安全非同源页面跨域通信的方法，其特征在于：所述发送的广播内容为一个结构化对象数据，所述结构化对象数据包括：待发送数据，数据发送源，数据接受源，广播类型，时间戳，安全验证码。

4.根据权利要求3所述的一种安全非同源页面跨域通信的方法，其特征在于：所述广播类型为一段字符串，所述结构化对象数据中待发送数据的内容由广播类型确定。

5.根据权利要求3所述的一种安全非同源页面跨域通信的方法，其特征在于：所述时间戳为当前时间的毫秒数。

6.根据权利要求1-3任一项所述的一种安全非同源页面跨域通信的方法，其特征在于：所述不同类型的广播通过结构化对象的广播类型字段定义。

7.根据权利要求1-3任一项所述的一种安全非同源页面跨域通信的方法，其特征在于：所述的广播加密包括：

在页面二发送广播时，在结构化对象数据中将包含加密后的安全验证码；

在页面一接收广播前，先对安全验证码进行安全验证，验证通过后才发送返回数据。

8.根据权利要求7所述的一种安全非同源页面跨域通信的方法，其特征在于：所述安全验证码的生成步骤为：首先将页面二的User Id和Secret Key组合后，再通过HMAC哈希运算生成Code，最后将该Code使用Secret Key通过AES加密生成安全验证码。

9.根据权利要求7所述的一种安全非同源页面跨域通信的方法，其特征在于：所述安全验证码的验证步骤为：页面一根据接收到的安全验证码，以及页面二的Secret Key和UserId，通过Secret Key和User Id进行与页面二相同的加密运算，比对结果是否和安全验证码完全相同，若相同，则可以向其发送数据。