本文介绍通过 postmessage 机制,在 wix 自定义 html/js(如 html5-qrcode)中向 velo 代码发送扫描结果,并由 velo 安全执行 wixdata.insert() 等敏感操作,实现前后端解耦与权限隔离。
本文介绍通过 postmessage 机制,在 wix 自定义 html/js(如 html5-qrcode)中向 velo 代码发送扫描结果,并由 velo 安全执行 wixdata.insert() 等敏感操作,实现前后端解耦与权限隔离。
在 Wix 开发中,Velo(Wix 的后端/服务端运行环境)与自定义嵌入的纯前端 JavaScript(如通过「Custom Code」添加的 html5-qrcode)运行在完全隔离的上下文中:前者受 Wix 安全沙箱保护,可安全访问数据库;后者仅运行于浏览器客户端,无法直接调用 wix-data 或其他 Velo API。因此,不能将 wixData.insert() 写在 Custom Code 的 JS 中——这会因跨域/权限限制而报错或被拒绝。
✅ 正确方案是采用标准的跨上下文通信机制:postMessage + $w.htmlComponent.onmessage。
// 注意:必须绑定到一个已存在的 HTML Component(如名为 'qrReceiver' 的自定义 HTML 组件)$w.onReady(function () { // 确保该组件已添加且 ID 匹配(例如:HTML Component 的 ID 设为 'qrReceiver') $w('#qrReceiver').onMessage((event) => { const { data } = event; // ✅ 严格校验消息来源与结构(安全关键!) if (data?.type === 'QR_SCAN_RESULT' && typeof data.url === 'string' && data.url.trim()) { const url = data.url.trim(); // 执行数据库写入(自动继承当前用户权限,支持角色/规则校验) wixData.insert('scanned_instructions', { URL: url }) .then((result) => { console.log('✅ QR 数据已存入集合:', result._id); }) .catch((err) => { console.error('❌ 插入失败:', err); }); } });});
<!-- 在 Wix 后台 → Settings → Advanced → Custom Code → Add Code to Site Header/Footer --><script> // 等待 HTML Component 加载完成(推荐使用 MutationObserver 或延时确保 DOM 可用) function sendQrResult(url) { const targetEl = document.getElementById('qrReceiver'); // ID 必须与 Velo 中的组件 ID 一致 if (targetEl && targetEl.contentWindow) { targetEl.contentWindow.postMessage( { type: 'QR_SCAN_RESULT', url }, '*' // ⚠️ 生产环境请替换为具体 origin,如 'https://your-site.wixsite.com' ); } } // 示例:html5-qrcode 成功解码后的回调 function onScanSuccess(decodedText, decodedResult) { console.log('Scanned:', decodedText); sendQrResult(decodedText); // 触发 Velo 数据写入 } // 初始化 QR 扫描器(略去 html5-qrcode 初始化细节) // new Html5QrcodeScanner(...).render(onScanSuccess, ...);</script>
通过 postMessage 桥接自定义前端 JS 与 Velo,既满足了动态扫码录入需求,又严格遵循了 Wix 的安全模型——敏感逻辑留在受控后端,前端只负责采集与传递。这是 Wix 生态中调用 Velo 功能的标准、可靠且可扩展的方式。