跨域

主要内容: 同源策略、跨域实现形式(JSONP、CORS、降域、postMessage)

同源策略 (Same origin Policy)

浏览器处于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
这是一个用于隔离潜在恶意文件的重要安全机制。

本域指的是:

  • 同协议: 比如都是 http 或者都是 https,
  • 同域名
  • 同端口: 比如都是80端口(不加端口号,默认是80)
image.png

注意: 对于当前页面来说,页面存放的JS 文件的域不重要,重要的是加载该JS页面所在什么域(当前页面的URL和ajax请求的URL对比)。

跨域实现形式

跨域

只要协议、域名、端口中有任何一个不同,都被当做是不同的域。

跨域实现形式

JSONP

JSONP(JSON with padding)是资料格式 JSON 的一种“使用模式”,可以让网页从别的网域要资料。JSONP由两部分组成:回调函数和数据。回调函数是当响应到来时应该在页面中调用的函数,而数据就是传入回调函数中的JSON数据。

JSONP 的原理:
JSONP是利用<script>标签没有跨域限制的“漏洞”来达到与第三方通讯的目的。

  • 首先前端先设置好回调函数,并将其作为 url 的参数。
  • 服务端接收到请求后,通过该参数获得回调函数名,并将数据放在参数中将其返回
  • 收到结果后因为是 script 标签,所以浏览器会当做是脚本进行运行,从而达到跨域获取数据的目的。

index.html

<body>
<div class="ct">
    <ul class="list">
    </ul>
    <button class="show">  showData </button>
</div>
<script>
    var btn = document.querySelector('.show');
    var news = document.querySelector('.list');
    btn.addEventListener('click',function (){
        var script = document.createElement('script');
        script.src = 'http://127.0.0.1:8080/getData?callback=appendData';
        document.body.appendChild(script);
        document.body.removeChild(script)
    });

    function appendData(data){
        var html = '';
        for(var i=0;i<data.length;i++){
            html += '<li>' + data[i] + '</li>'
        }
        news.innerHTML = html ;
    }
</script>
</body>

server.js

var http = require('http'),
    fs = require('fs'),
    path = require('path'),
    url = require('url');

var server = http.createServer(function (req, res) {
    var pathObj = url.parse(req.url, true); // 将url字符串转换为URL对象

    switch (pathObj.pathname) {
        case '/getData':
            var data = [
                "第11日前瞻:中国冲击4金 博尔特再战200米羽球",
                "正直播柴飚/洪炜出战 男双力争会师决赛",
                "女排将死磕巴西!郎平安排男陪练模仿对方核心"
            ];
            res.setHeader('Content-Type', 'text/json; charset=utf-8');
            if (pathObj.query.callback) {
                res.end(pathObj.query.callback + '(' + JSON.stringify(data) + ')')
            } else {
                res.end(JSON.stringify(data))
            }

            break;

        default:
            fs.readFile(path.join(__dirname, pathObj.pathname), function (e, data) {
                if (e) {
                    res.writeHead(404, 'not found');
                    res.end('<h1>404 Not Found</h1>')
                } else {
                    res.end(data)
                }
            })
    }
});

server.listen(8080);

运行 node server.js 在浏览器中打开 http://localhost:8080/index.html

JSONP的优点

  • 不受同源策略的限制
  • 兼容性好
  • 不需要 XMLHttpRequest 或 ActiveX 的支持;并且在请求完毕后可以通过调用 callback 的方式回传结果

JSONP的缺点 :

  • 只支持GET请求而不支持POST等其它类型的HTTP请求
  • 它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面或 iframe 之间进行数据通信的问题
CORS

CORS 是一个 W3C 标准,全称是"跨域资源共享"(Cross-origin resource sharing)它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 ajax 只能同源使用的限制。CORS 需要浏览器和服务器同时支持才可以生效。
CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。 实现方式很简单,当使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。

index.html

<body>
<ul class="list">

</ul>
<button class="show">showData</button>

<script>
    var btn = document.querySelector('.show'),
        list = document.querySelector('.list');

    btn.addEventListener('click', function () {
        var xhr = new XMLHttpRequest();
        xhr.open('GET', 'http://127.0.0.1:8080/getData', true);
        xhr.send();
        xhr.onload = function (){
            console.log(xhr.responseText);
            appendData(JSON.parse(xhr.responseText))
        }

    });

    function appendData(data) {
        var html = '';
        for (var i = 0; i < data.length; i++) {
            html += '<li>' + data[i] + '</li>'
        }
        list.innerHTML = html;
    }

</script>
</body>

server.js


var http = require('http'),
    fs = require('fs'),
    path = require('path'),
    url = require('url');

var server = http.createServer(function(req, res){
    var pathObj = url.parse(req.url, true);

    switch (pathObj.pathname) {
        case '/getData':
            var data = [
                "第11日前瞻:中国冲击4金 博尔特再战200米羽球",
                "正直播柴飚/洪炜出战 男双力争会师决赛",
                "女排将死磕巴西!郎平安排男陪练模仿对方核心"
            ];

            res.setHeader('Access-Control-Allow-Origin','http://localhost:8080')
            // res.setHeader('Access-Control-Allow-Origin','*') // *表示接受所有域名的请求
            res.end(JSON.stringify(data));

        default:
            fs.readFile(path.join(__dirname, pathObj.pathname), function(e, data) {
                if (e) {
                    res.writeHead(404, 'not found');
                    res.end('<h1>404 Not Found</h1>')
                } else {
                    res.end(data)
                }
            })
    }

});

server.listen(8080);

还是运行 node server.js 在浏览器中打开 http://localhost:8080/index.html

CORS的优点:

  • CORS支持所有类型的HTTP请求
  • 使用CORS,开发者可以使用普通的XMLHttpRequest发起请求和获得数据,比起JSONP有更好的错误处理
降域

此方案仅限主域相同,子域不同的跨域应用场景。
实现原理:两个页面都通过js强制设置document.domain为基础主域,就实现了同域。

在模仿之前,需要先修改一下hosts 。这里我增加了2条记录:
127.0.0.1 a.duan.com
127.0.0.1 b.duan.com

在浏览器中打开 http://a.duan.com:8080/a.html

a.html

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>降域 a.html</title>
    <style>
        .ct {
            width: 910px;
            margin: 0 auto;
        }

        .main {
            float: left;
            width: 450px;
            height: 300px;
            border: 1px solid #ccc;
        }

        .main input {
            margin: 20px;
            width: 200px;
        }

        iframe {
            float: right;
            width: 450px;
            height: 300px;
            border: 1px dashed #ccc;
        }
    </style>
</head>
<body>
<div class="ct">
    <h1>使用降域实现跨域</h1>
    <div class="main">
        <input type="text" placeholder="http://a.duan.com:8080/a.html">
    </div>
    <iframe src="http://b.duan.com:8080/b.html" frameborder="0"></iframe>
</div>

<script>
    var input = document.querySelector('.main input');

    input.addEventListener('input', function () {
        console.log(this.value);
        window.frames[0].input.value = this.value
    });

    document.domain = "duan.com"
</script>
</body>
</html>

b.html

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>降域 b.html</title>
    <style>
        html, body {
            margin: 0;
        }

        input {
            margin: 20px;
            width: 200px;
        }
    </style>
</head>
<body>
<input type="text" placeholder="http://b.duan.com:8080/b.html">

<script>
    var input = document.querySelector('input');

    input.addEventListener('input', function () {
        console.log(this.value);
        window.parent.input.value = this.value
    });
    document.domain = "duan.com"
</script>
</body>
</html>
postMessage

postMessage 是 HTML5 新增加的一项功能,跨文档消息传输(Cross Document Messaging),目前:Chrome 2.0+、Internet Explorer 8.0+, Firefox 3.0+, Opera 9.6+, 和 Safari 4.0+ 都支持这项功能。

a.html

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>postMessage a.html</title>
    <style>
        .ct {
            width: 910px;
            margin: 0 auto;
        }

        .main {
            float: left;
            width: 450px;
            height: 300px;
            border: 1px solid #ccc;
        }

        .main input {
            margin: 20px;
            width: 200px;
        }

        iframe {
            float: right;
            width: 450px;
            height: 300px;
            border: 1px dashed #ccc;
        }
    </style>
</head>
<body>
<div class="ct">
    <h1>使用postMessage实现跨域</h1>
    <div class="main">
        <input type="text" placeholder="http://a.duan.com:8080/a.html">
    </div>
    <iframe src="http://b.duan.com:8080/b.html" frameborder="0"></iframe>
</div>

<script>
    var input = document.querySelector('.main input');

    input.addEventListener('input', function () {
        console.log(this.value);
        window.frames[0].postMessage(this.value,'*')
    });

    window.addEventListener('message',function(e){
        input.value = e.data;
        console.log(e.data)
    })

</script>
</body>
</html>

b.html

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>postMessage b.html</title>
    <style>
        html, body {
            margin: 0;
        }

        input {
            margin: 20px;
            width: 200px;
        }
    </style>
</head>
<body>
<input type="text" placeholder="http://b.duan.com:8080/b.html">

<script>
    var input = document.querySelector('input');

    input.addEventListener('input', function () {
        console.log(this.value);
        window.parent.postMessage(this.value,'*')
    });
    window.addEventListener('message',function(e){
        input.value = e.data;
        console.log(e.data)
    })

</script>
</body>
</html>

在浏览器中打开 http://127.0.0.1:8080/a.html

参考

阮一峰: 跨域资源共享 CORS 详解
详解js跨域问题
前端常见跨域解决方案(全)

©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 220,492评论 6 513
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 94,048评论 3 396
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 166,927评论 0 358
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 59,293评论 1 295
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 68,309评论 6 397
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 52,024评论 1 308
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,638评论 3 420
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 39,546评论 0 276
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 46,073评论 1 319
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 38,188评论 3 340
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 40,321评论 1 352
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,998评论 5 347
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 41,678评论 3 331
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 32,186评论 0 23
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 33,303评论 1 272
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 48,663评论 3 375
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 45,330评论 2 358

推荐阅读更多精彩内容

  • 进阶13:同源策略及跨域
    题目1.什么是同源策略? 同源策略(Same origin Policy): 浏览器出于安全方面的考虑,只允许与本...
    FLYSASA阅读 1,727评论 0 6
  • 详解跨域(最全的解决方案)
    1. 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScri...
    cbw100阅读 6,338评论 2 86
  • JS跨域及解决方案
    <转>详解跨域(最全的解决方案) 什么是跨域跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,...
    涅槃快乐是金阅读 4,750评论 0 3
  • 关于跨域,最全的前端总结
    前端开发中,跨域使我们经常遇到的一个问题,也是面试中经常被问到的一些问题,所以,这里,我们做个总结。小小问题,不足...
    Nealyang阅读 473评论 0 0
  • 南非 | 致山野与海洋
    旅行第n年,对世界的态度一直在变。国庆假去的南非,略微染指了第五个大洲。 去开普敦之前看过一些游记,知道桌山和好望...
    鱼丸阅读 859评论 6 15