一、问答题
1. 什么是同源策略
(1)含义:1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。
最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页“同源”。所谓“同源”指的是”三个相同“。
1.协议相同
2.域名相同
3.端口相同
(2)目的:同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
(3)限制范围:随着互联网的发展,“同源政策”越来越严格。目前,如果非同源,共有三种行为受到限制。
1.Cookie、LocalStorage 和 IndexedDB 无法读取。
2.DOM 无法获得。
3.AJAX 请求不能发送。
2. 什么是跨域?跨域有几种实现形式
(1)神马是跨域(Cross Domain)?
说白点就是post、get的url不是你当前的网站,域名不同。例如在aaa.com/a.html里面,表单的提交action是bbb.com/b.html。
不仅如此,www.aaa.com和aaa.com之间也属于跨域,因为www.aaa.com是二级域名,aaa.com是根域名。
JavaScript出于安全方面的考虑,是不允许跨域调用其他页面的对象的(同源策略 Same-Origin Policy)。
关于JavaScript能否跨域通信的详细说明,见下表:
http://www.a.com/a.js访问以下URL的结果
| URL | 说明 | 是否允许通信 |
|---|---|---|
| http://www.a.com/b.js | 同一域名下 | 允许 |
| http://www.a.com/script/b.js | 同一域名下不同文件 | 允许 |
| http://www.a.com:8000/b.js | 同一域名,不同端口 | 不允许 |
| https://www.a.com/b.js | 同一域名,不同协议 | 不允许 |
| http://70.32.92.74/b.js | 域名和域名对应IP | 不允许 |
| http://script.a.com/b.js | 主域相同子域不同 | 不允许 |
| http://a.com/b.js | 同一域名,不同二级域名 | 不允许 |
| http://www.b.com/b.js | 不同域名 | 不允许 |
(2)跨域的实现形式
JSONP:JSONP (JSON with Padding)是一个简单高效的跨域方式,html中的script标签可以加载并执行其他域的JavaScript,于是我们可以通过script标记来动态加载其他域的资源。例如我要从域A的页面pageA加载域B的数据,那么在域B的页面pageB中我以JavaScript的形式声明pageA需要的数据,然后在pageA中用script标签把pageB加载进来,那么pageB中的脚本就会得以执行。JSONP在此基础上加入了回调函数,pageB加载完之后会执行pageA中定义的函数,所需要的数据会以参数的形式传递给该函数。JSONP易于实现,但是也会存在一些安全隐患,如果第三方的脚本随意地执行,那么它就可以篡改页面内容,截获敏感数据。但是在受信任的双方传递数据,JSONP是非常合适的选择。
window.name:window对象的name属性是一个很特别的属性,当该window的location变化,然后重新加载,它的name属性可以依然保持不变。那么我们可以在页面A中用iframe加载其他域的页面B,而页面B中用JavaScript把需要传递的数据赋值给window.name,iframe加载完成之后,页面A修改iframe的地址,将其变成同域的一个地址,然后就可以读出window.name的值了。这个方式非常适合单向的数据请求,而且协议简单、安全。不会像JSONP那样不做限制地执行外部脚本。
document.domain:通过修改document的domain属性,我们可以在域和子域或者不同的子域之间通信。同域策略认为域和子域隶属于不同的域,比如www.a.com和sub.a.com是不同的域,这时,我们无法在www.a.com下的页面中调用sub.a.com中定义的JavaScript方法。但是当我们把它们document的domain属性都修改为a.com,浏览器就会认为它们处于同一个域下,那么我们就可以互相调用对方的method来通信了。
window.postMessage:window.postMessage是html5定义的一个很新的方法,这个方法可以很方便地跨window通信。由于它是一个很新的方法,所以在很旧和比较旧的浏览器中都无法使用。
CORS:CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。
整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
3. jsonp 的原理是什么
原理:
1、浏览器的同源策略把跨域请求都禁止了;
2、HTML的<script>标签是例外,可以突破同源策略从其他来源获取数据;
3、由上可得,我们可以通过动态创建<script>标签引入jsonp文件,然后通过一系列JS操作获取数据。-
JSONP所存在的问题:
- 使用远程网站的script标签时,若远程网站的script标签本身存在着漏洞,则引入的网站也会被影响,跨域的网站需要相互验证,并设置token。来保证安全性。
- 基于script标签的资源能能get数据,不能post数据,也就是说,只能读,不具有写的功能。
- callback可能被注入一些恶意字符,可采用正则过滤的方式来消除这种错误。
4. CORS是什么
它的全称叫做Cross-Origin Resource Sharing,也就是跨域资源共享的意思,它是一种W3C规范,允许从浏览器的跨域通信。通过建立XMLHttpRequest对象的header,CORS允许开发者使用相同的习惯作为跨域请求工作。Chrome、Firefox、Opera和Safari都是用XMLHttpRequest2中的对象,而IE则使用类似的XDomainRequest。
具体使用方法:在要被请求的文件中声明header(“Access-Control-Allow-Origin: example.org”)即可
在IE10及以下,CORS都具有兼容性问题。
二、实操题
1.降域
2.CORS
在http://www.a.wayne.com:8080/loadmore.html 中加载 'http://www.b.wayne.com:8080/loadMore.php'
在php文件加了header("Access-Control-Allow-Origin: http://www.a.wayne.com:8080");
3.JSONP
a.wayne.com:8080/demo2.html 中加载 b.wayne.com:8080/data.js
版权声明:本教程版权归饥人谷和作者(我)所有,转载须说明来源。
