前端跨域的理解和解决方案(较全面)

何为跨域?

首先,我们得先理解一下何为跨域?所谓跨域,即网站的协议名 protocol(例如 http ://) 、域名 host (例如:www.example.com)、端口号 port (例如 80 ,默认端口可以省略) 这三个中的任意一个不同,网站之间的数据传输或者请求就属于跨域请求了。

这是由于浏览器的同源策略,为了防范跨站脚本的攻击,禁止客户端脚本对不同域的服务进行跨站调用,但是跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但返回结果被浏览器拦截了。有些浏览器不允许从HTTPS协议的域 跨域访问 HTTP协议,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。如果是非同源,共有三种行为受到限制:(1)cookie、LocalStorage 和 IndexDB 无法读取;(2)DOM 无法获得;(3)AJAX请求不能发送。

【这里再解释一下同源(具体定义可以查看 MDN),如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。IE 有例外,一是授信范围:两个相互之间高度互信的域名,不遵守同源策略的限制;二是端口:IE 未将端口号加入到同源策略的组成成分中。更多有关源的介绍可以查看 MDN :https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy

如何去解决?

接着,既然我们知道了何为跨域,跨越有时候在实际的开发中有时候又无法避免,下面介绍几种常见的跨域方法:

1、利用 JSONP 实现跨域

JSONP (JSON with Padding)是 JSON 的一种“使用模式”。利用 JSON 实现跨域的原理是:HTML 的 script 标签是不受同源策略的限制的,可以通过 script 标签加载并执行其他的域的 js 文件的。

例如通过 jQery 封装的方法可以很方便地进行 JSONP 的操作:

$.ajax({
  type: 'GET',
  url: 'http://jjjjjjjj.com/data',
  // 需要提交给服务端的数据:
  data: { name: '燕子' },
  // 指定数据类型:
  dataType: 'jsonp',
  timeout: 300,
  success: function(data){
    this.append(data.project.html)
  },
  error: function(xhr, type){
    alert('数据获取失败!')
  }
})
//使用$.getJSON
$.getJSON('http://jjjjjjjj.com/data?callback=?,function(data)'){
    //处理获得的json数据
});

总结:

JSONP 的兼容性好,在更古老的浏览器都可以运行,不需要 XMLHTTPRequest 或 ActiveX 的支持,并且在请求完毕后可以通过调用 callback 的方式回传结果;
然而缺点是,它只支持 GET 请求 而不支持 POST 等其他类型的 HTTP 请求;还有 只支持跨域 HTTP 请求这种情况,不能解决不同域的两个页面的之间 JavaScript 调用的问题;

2、利用 CORS 实现跨域

CORS (Cross-Origin Resource Sharing)跨域资源共享,定义了必须在访问跨域资源时,浏览器与服务器应该如何沟通。CORS 背后的思想是使用自定义的 HTTP 头部,让服务器能声明哪些来源可以通过浏览器访问该服务器上的资源,从而决定请求或响应是应该成功还是失败,CORS 本身并非绝对的安全,可利用 OAuth2 加强保障。(更多关于 CORS 的详解可以查看 阮一峰老师的一篇文章:跨域资源共享 CORS 详解

header("Access-Control-Allow-Origin: *")       //“*”号表示允许任何域向我们的服务端提交请求
header("Access-Control-Allow-Origin: http://jjjjj.jd.com")      //也可以设置指定的域名

与 JSONP 相比,CORS 更为先进、方便:

  • CORS 支持所有类型的 HTTP 请求;
  • 使用CORS,开发者可以使用普通的XMLHttpRequest发起请求和获得数据,比起JSONP有更好的错误处理;
  • 绝大多数现代浏览器都已经支持了CORS;

3、window.name

当window 的 loaction 变化时,页面重新加载,它的 name 属性可以依然保持不变。每个页面的对 window.name 都有读写权限,window.name 是持久存在一个窗口载入过所有页面中的。 我们可以在页面 A中用iframe加载其他域的页面B,而页面B中用JavaScript把需要传递的数据赋值给window.name,iframe加载完成之后(iframe.onload),页面A修改iframe的地址,将其变成同域的一个地址,然后就可以读出iframe的window.name的值了(因为A中的window.name和iframe中的window.name互相独立的,所以不能直接在A中获取window.name,而要通过iframe获取其window.name)。这个方式非常适合单向的数据请求,而且协议简单、安全。不会像JSONP那样不做限制地执行外部脚本。

4、document.domain 跨域(只适用于不同子域的框架间的交互)

同源策略不能用 ajax 方法去请求不同源的文档,还有一个限制就是浏览器不同域的框架之间不能进行 JS 的交互操作的,不同的框架可以获取 window 对象,但无法获取相应的属性和方法。

这个时候,我们可以通过把两个页面的 document.domain 都设成相同的域名就可以,不过 window.domain 的设置也是有限制的,只能把 window.domain 设置成自身或更高一级的父域,且主域必须相同

5、HTML5 的 postMessage 方法

高级浏览器Internet Explorer 8+, chrome,Firefox , Opera 和 Safari 都将支持这个功能。这个功能主要包括接受信息的"message"事件和发送消息的"postMessage"方法。

window.postMessage() 方法被调用时,会在所有页面脚本执行完毕之后(例如:在该方法之后设置的事件、之前设置的timeout 事件)向目标窗口派发一个 MessageEvent 消息。 该 MessageEvent 消息有四个属性需要注意: message 属性表示该 message 的类型; data 属性为 window.postMessage 的第一个参数;origin 属性表示调用 window.postMessage() 方法时调用页面的当前状态; source 属性记录调用 window.postMessage() 方法的窗口信息。

详细语法可参考 MDN 文档:window.postMessage

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,590评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,808评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,151评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,779评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,773评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,656评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,022评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,678评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,038评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,756评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,411评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,005评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,973评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,053评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,495评论 2 343

推荐阅读更多精彩内容

  • 转载自:https://segmentfault.com/a/1190000007326671bo 前端跨域整理 ...
    天字一等阅读 476评论 0 3
  • 什么是跨域? 2.) 资源嵌入:、、、等dom标签,还有样式中background:url()、@font-fac...
    电影里的梦i阅读 2,363评论 0 5
  • 1. 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScri...
    cbw100阅读 6,302评论 2 86
  • 时隔多年,我们已回不到从前。不知是你走远了,还是我们走散了。然而现在的我,只能默默张望着,你那双深情的眸。...
    淑语潼阅读 164评论 0 2
  • 小时候,理想的生活,是活得像大人。心想,像个大人活着,多威风。一想到,能从被训者变成训斥者,真是爽到跺脚。 然而,...
    黄灿新阅读 921评论 1 5