10 de setembro de 2025Português

Explore a comunicação segura cross-origin com a API PostMessage. Conheça suas capacidades, riscos e melhores práticas para mitigar vulnerabilidades.

Comunicação Cross-Origin: Padrões de Segurança com a API PostMessage

Na web moderna, as aplicações frequentemente precisam interagir com recursos de diferentes origens. A Política de Mesma Origem (SOP) é um mecanismo de segurança crucial que restringe scripts de acessarem recursos de uma origem diferente. No entanto, existem cenários legítimos onde a comunicação cross-origin é necessária. A API postMessage fornece um mecanismo controlado para alcançar isso, mas é vital entender seus potenciais riscos de segurança e implementar padrões de segurança apropriados.

Entendendo a Política de Mesma Origem (SOP)

A Política de Mesma Origem é um conceito de segurança fundamental nos navegadores web. Ela restringe páginas web de fazerem requisições para um domínio diferente daquele que serviu a página. Uma origem é definida pelo esquema (protocolo), host (domínio) e porta. Se qualquer um destes diferir, as origens são consideradas diferentes. Por exemplo:

https://example.com
https://www.example.com
http://example.com
https://example.com:8080

Todas estas são origens diferentes, e a SOP restringe o acesso direto de scripts entre elas.

Apresentando a API PostMessage

A API postMessage fornece um mecanismo seguro e controlado para a comunicação cross-origin. Ela permite que scripts enviem mensagens para outras janelas (ex: iframes, novas janelas ou abas), independentemente de sua origem. A janela receptora pode então escutar por essas mensagens e processá-las adequadamente.

A sintaxe básica para enviar uma mensagem é:


otherWindow.postMessage(message, targetOrigin);

otherWindow: Uma referência para a janela de destino (ex: window.parent, iframe.contentWindow, ou um objeto de janela obtido de window.open).
message: Os dados que você deseja enviar. Pode ser qualquer objeto JavaScript que possa ser serializado (ex: strings, números, objetos, arrays).
targetOrigin: Especifica a origem para a qual você deseja enviar a mensagem. Este é um parâmetro de segurança crucial.

No lado receptor, você precisa escutar pelo evento message:


window.addEventListener('message', function(event) {
  // ...
});

O objeto event contém as seguintes propriedades:

event.data: A mensagem enviada pela outra janela.
event.origin: A origem da janela que enviou a mensagem.
event.source: Uma referência para a janela que enviou a mensagem.

Riscos de Segurança e Vulnerabilidades

Embora o postMessage ofereça uma maneira de contornar as restrições da SOP, ele também introduz potenciais riscos de segurança se não for implementado com cuidado. Aqui estão algumas vulnerabilidades comuns:

1. Incompatibilidade da Origem de Destino

Falhar em validar a propriedade event.origin é uma vulnerabilidade crítica. Se o receptor confia cegamente na mensagem, qualquer site pode enviar dados maliciosos. Sempre verifique se o event.origin corresponde à origem esperada antes de processar a mensagem.

Exemplo (Código Vulnerável):


window.addEventListener('message', function(event) {
  // NÃO FAÇA ISSO!
  processMessage(event.data);
});

Exemplo (Código Seguro):


window.addEventListener('message', function(event) {
  if (event.origin !== 'https://trusted-origin.com') {
    console.warn('Mensagem recebida de origem não confiável:', event.origin);
    return;
  }

  processMessage(event.data);
});

2. Injeção de Dados

Tratar os dados recebidos (event.data) como código executável ou injetá-los diretamente no DOM pode levar a vulnerabilidades de Cross-Site Scripting (XSS). Sempre sanitize e valide os dados recebidos antes de usá-los.

Exemplo (Código Vulnerável):


window.addEventListener('message', function(event) {
  if (event.origin === 'https://trusted-origin.com') {
    document.body.innerHTML = event.data; // NÃO FAÇA ISSO!
  }
});

Exemplo (Código Seguro):


window.addEventListener('message', function(event) {
  if (event.origin === 'https://trusted-origin.com') {
    const sanitizedData = sanitize(event.data); // Implemente uma função de sanitização adequada
    document.getElementById('message-container').textContent = sanitizedData;
  }
});

function sanitize(data) {
    // Implemente uma lógica de sanitização robusta aqui.
    // Por exemplo, use DOMPurify ou uma biblioteca similar
    return DOMPurify.sanitize(data);
}

3. Ataques Man-in-the-Middle (MITM)

Se a comunicação ocorrer por um canal inseguro (HTTP), um atacante MITM pode interceptar e modificar as mensagens. Sempre use HTTPS para uma comunicação segura.

4. Cross-Site Request Forgery (CSRF)

Se o receptor executa ações com base na mensagem recebida sem a devida validação, um atacante poderia forjar mensagens para enganar o receptor e fazê-lo executar ações não intencionais. Implemente mecanismos de proteção CSRF, como incluir um token secreto na mensagem e verificá-lo no lado do receptor.

5. Usando Curingas no `targetOrigin`

Definir targetOrigin como * permite que qualquer origem receba a mensagem. Isso deve ser evitado a menos que seja absolutamente necessário, pois anula o propósito da segurança baseada em origem. Se você precisar usar *, certifique-se de implementar outras medidas de segurança fortes, como códigos de autenticação de mensagem (MACs).

Exemplo (Evite Isso):


otherWindow.postMessage(message, '*'); // Evite usar '*' a menos que seja absolutamente necessário

Padrões de Segurança e Melhores Práticas

Para mitigar os riscos associados ao postMessage, siga estes padrões de segurança e melhores práticas:

1. Validação Estrita de Origem

Sempre valide a propriedade event.origin no lado do receptor. Compare-a com uma lista predefinida de origens confiáveis. Use igualdade estrita (===) para a comparação.

2. Sanitização e Validação de Dados

Sanitize e valide todos os dados recebidos via postMessage antes de usá-los. Use técnicas de sanitização apropriadas dependendo de como os dados serão usados (ex: escape de HTML, codificação de URL, validação de entrada). Use bibliotecas como DOMPurify para sanitizar HTML.

3. Códigos de Autenticação de Mensagem (MACs)

Inclua um Código de Autenticação de Mensagem (MAC) na mensagem para garantir sua integridade e autenticidade. O remetente calcula o MAC usando uma chave secreta compartilhada e a inclui na mensagem. O receptor recalcula o MAC usando a mesma chave secreta compartilhada e o compara com o MAC recebido. Se eles corresponderem, a mensagem é considerada autêntica e não adulterada.

Exemplo (Usando HMAC-SHA256):


// Remetente
async function sendMessage(message, targetOrigin, sharedSecret) {
  const encoder = new TextEncoder();
  const data = encoder.encode(JSON.stringify(message));
  const key = await crypto.subtle.importKey(
    "raw",
    encoder.encode(sharedSecret),
    { name: "HMAC", hash: "SHA-256" },
    false,
    ["sign"]
  );
  const signature = await crypto.subtle.sign("HMAC", key, data);
  const signatureArray = Array.from(new Uint8Array(signature));
  const signatureHex = signatureArray.map(b => b.toString(16).padStart(2, '0')).join('');

  const securedMessage = {
    data: message,
    signature: signatureHex
  };

  otherWindow.postMessage(securedMessage, targetOrigin);
}

// Receptor
async function receiveMessage(event, sharedSecret) {
  if (event.origin !== 'https://trusted-origin.com') {
    console.warn('Mensagem recebida de origem não confiável:', event.origin);
    return;
  }

  const securedMessage = event.data;
  const message = securedMessage.data;
  const receivedSignature = securedMessage.signature;

  const encoder = new TextEncoder();
  const data = encoder.encode(JSON.stringify(message));
  const key = await crypto.subtle.importKey(
    "raw",
    encoder.encode(sharedSecret),
    { name: "HMAC", hash: "SHA-256" },
    false,
    ["verify"]
  );
  const signature = await crypto.subtle.sign("HMAC", key, data);
  const signatureArray = Array.from(new Uint8Array(signature));
  const signatureHex = signatureArray.map(b => b.toString(16).padStart(2, '0')).join('');

  if (signatureHex === receivedSignature) {
    console.log('A mensagem é autêntica!');
    processMessage(message); // Prossiga com o processamento da mensagem
  } else {
    console.error('A verificação da assinatura da mensagem falhou!');
  }
}

Importante: A chave secreta compartilhada deve ser gerada e armazenada de forma segura. Evite codificar a chave diretamente no código.

4. Usando Nonce e Timestamps

Para prevenir ataques de repetição (replay attacks), inclua um nonce único (número usado uma única vez) e um timestamp na mensagem. O receptor pode então verificar que o nonce não foi usado antes e que o timestamp está dentro de um período de tempo aceitável. Isso mitiga o risco de um atacante reenviar mensagens interceptadas anteriormente.

5. Princípio do Menor Privilégio

Conceda apenas os privilégios mínimos necessários à outra janela. Por exemplo, se a outra janela só precisa ler dados, não permita que ela escreva dados. Projete seu protocolo de comunicação com o princípio do menor privilégio em mente.

6. Política de Segurança de Conteúdo (CSP)

Use a Política de Segurança de Conteúdo (CSP) para restringir as fontes das quais os scripts podem ser carregados e as ações que os scripts podem executar. Isso pode ajudar a mitigar o impacto de vulnerabilidades XSS que possam surgir do manuseio inadequado de dados do postMessage.

7. Validação de Entrada

Sempre valide a estrutura e o formato dos dados recebidos. Defina um formato de mensagem claro e garanta que os dados recebidos estejam em conformidade com este formato. Isso ajuda a prevenir comportamentos inesperados e vulnerabilidades.

8. Serialização Segura de Dados

Use um formato de serialização de dados seguro, como JSON, para serializar e desserializar mensagens. Evite usar formatos que permitem a execução de código, como eval() ou Function().

9. Limitar o Tamanho da Mensagem

Limite o tamanho das mensagens enviadas através do postMessage. Mensagens grandes podem consumir recursos excessivos e potencialmente levar a ataques de negação de serviço.

10. Auditorias de Segurança Regulares

Realize auditorias de segurança regulares em seu código para identificar e corrigir potenciais vulnerabilidades. Preste atenção especial à implementação do postMessage e garanta que todas as melhores práticas de segurança sejam seguidas.

Cenário de Exemplo: Comunicação Segura Entre um Iframe e seu Pai

Considere um cenário onde um iframe hospedado em https://iframe.example.com precisa se comunicar com sua página pai hospedada em https://parent.example.com. O iframe precisa enviar dados do usuário para a página pai para processamento.

Iframe (https://iframe.example.com):


// Gere uma chave secreta compartilhada (substitua por um método seguro de geração de chave)
const sharedSecret = 'SUA_CHAVE_SECRETA_SEGURA';

// Obtenha os dados do usuário
const userData = {
  name: 'John Doe',
  email: 'john.doe@example.com'
};

// Envie os dados do usuário para a página pai
async function sendUserData(userData) {
  const encoder = new TextEncoder();
  const data = encoder.encode(JSON.stringify(userData));
  const key = await crypto.subtle.importKey(
    "raw",
    encoder.encode(sharedSecret),
    { name: "HMAC", hash: "SHA-256" },
    false,
    ["sign"]
  );
  const signature = await crypto.subtle.sign("HMAC", key, data);
  const signatureArray = Array.from(new Uint8Array(signature));
  const signatureHex = signatureArray.map(b => b.toString(16).padStart(2, '0')).join('');

  const securedMessage = {
    data: userData,
    signature: signatureHex
  };
  parent.postMessage(securedMessage, 'https://parent.example.com');
}

sendUserData(userData);

Página Pai (https://parent.example.com):


// Chave secreta compartilhada (deve ser a mesma do iframe)
const sharedSecret = 'SUA_CHAVE_SECRETA_SEGURA';

window.addEventListener('message', async function(event) {
  if (event.origin !== 'https://iframe.example.com') {
    console.warn('Mensagem recebida de origem não confiável:', event.origin);
    return;
  }

  const securedMessage = event.data;
  const userData = securedMessage.data;
  const receivedSignature = securedMessage.signature;

  const encoder = new TextEncoder();
  const data = encoder.encode(JSON.stringify(userData));
  const key = await crypto.subtle.importKey(
    "raw",
    encoder.encode(sharedSecret),
    { name: "HMAC", hash: "SHA-256" },
    false,
    ["verify"]
  );
  const signature = await crypto.subtle.sign("HMAC", key, data);
  const signatureArray = Array.from(new Uint8Array(signature));
  const signatureHex = signatureArray.map(b => b.toString(16).padStart(2, '0')).join('');


  if (signatureHex === receivedSignature) {
    console.log('A mensagem é autêntica!');
    // Processe os dados do usuário
    console.log('Dados do usuário:', userData);
  } else {
    console.error('A verificação da assinatura da mensagem falhou!');
  }
});

Notas Importantes:

Substitua SUA_CHAVE_SECRETA_SEGURA por uma chave secreta compartilhada gerada de forma segura.
A chave secreta compartilhada deve ser a mesma tanto no iframe quanto na página pai.
Este exemplo usa HMAC-SHA256 para autenticação de mensagens.

Conclusão

A API postMessage é uma ferramenta poderosa para permitir a comunicação cross-origin em aplicações web. No entanto, é crucial entender os potenciais riscos de segurança e implementar padrões de segurança apropriados para mitigar esses riscos. Seguindo os padrões de segurança e as melhores práticas descritas neste guia, você pode usar o postMessage de forma segura para construir aplicações web robustas e seguras.

Lembre-se de sempre priorizar a segurança e manter-se atualizado com as últimas melhores práticas de segurança para o desenvolvimento web. Revise regularmente seu código e configurações de segurança para garantir que suas aplicações estejam protegidas contra potenciais vulnerabilidades.