# Web message manipulation

## Что такое манипуляции веб‑сообщениями?

Уязвимости веб‑сообщений возникают, когда скрипт отправляет контролируемые атакующим данные в виде веб‑сообщения другому документу в браузере. Атакующий может использовать данные веб‑сообщения как источник, создав веб‑страницу, которая при посещении заставит браузер пользователя отправить веб‑сообщение, содержащее контролируемые атакующим данные. Дополнительную информацию об использовании веб‑сообщений в качестве источника см. на странице [Web messages](https://wr3dmast3r.gitbook.io/portswiggerfundamental/client-side/dom-based/kontrol-istochnika-veb-soobsheniya-controlling-the-web-message-source).

## Какие приёмники могут привести к уязвимостям манипуляции веб‑сообщениями?

Метод `postMessage()` для отправки веб‑сообщений может приводить к уязвимостям, если обработчик события для приёма сообщений небезопасно обрабатывает входящие данные.

## Как предотвратить манипуляции веб‑сообщениями на основе DOM

В дополнение к общим мерам, описанным на странице [DOM-based](https://wr3dmast3r.gitbook.io/portswiggerfundamental/client-side/dom-based), следует избегать отправки веб‑сообщений, содержащих данные, поступившие из какого‑либо ненадежного источника. При отправке междоменных сообщений всегда явно указывайте целевое окно. И самое важное — обязательно реализуйте надёжные меры по проверке источника любых входящих сообщений.