<p>一篇好文：<a href="https://vinothkumar.me/20000-facebook-dom-xss/">$20000 Facebook DOM XSS</a>，作者发现了一个 Facebook 的 XSS 漏洞，Facebook 奖励了他 $20000。🤑</p>
<p>具体细节见上文，结论就是，在使用 postMessage 进行跨站通信时，需要注意因为接收内容而导致的 XSS 漏洞，例如上面的文章中，由于 Facebook SDK 使用 <code>window.open</code> 直接打开 postMessage 传递过来的内容，从而导致了攻击者可以直接传递 <code>javascript:alert(document.domain)</code> 来获取目标网站的信息。</p>


Blog.

postMessage 的 XSS 漏洞