实现跨域的方法

四种post跨域的解决方案:
window.name
cors
flash
iframe

何为跨域:默认情况下,XHR对象只能访问与包含它的页面位于同一个域的资源。这种安全策略可以预防某些恶意行为。但是,实现合理的跨域请求队开发某些浏览器应用程序也是至关重要的。

如何跨域
(一)CORS(Cross-Origin Resource Sharing,跨源资源共享)

CORS(Cross-Origin Resource Sharing,跨源资源共享)是W3C的一个工作草案,定义了在必须访问跨源资源时,浏览器与服务器应该如何沟通。

CORS 背后的基本思想,就是使用自定义的HTTP 头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是失败。

实现此功能很简单,只需由服务器发送一个响应标头即可:

浏览器支持情况:

IE8+
Firefox 3.5+
Opera 12+
Safari 4+
Chrome 3+

假设,我们页面或者应用已在 http://www.a.com/ 上了,而我们打算从 http://www.b.com/ 请求提取数据,一般情况下,如果我们直接使用 ajax 来请求,将会失败,浏览器也会返回错误。

利用 CORS,http://www.b.com/ 只需添加一个标头,就可以允许来自 http://www.a.com/ 的请求。

下面是用php进行的设置,"*"号表示允许任何域向我们的服务器端提交请求:

header{ "Access-Control-Allow-Origin: *" }

CORS 的兼容性写法:

function createCORSRequest(method, url){
    var xhr = new XMLHttpRequest();
    // 非IE浏览器
    if("withCredentials" in xhr){
        xhr.open(method, url, true);
    } else if(typeof XDomainRequest != "undefined") {
        xhr = new XDomainRequest();
        xhr.open(method, url);
    } else {
        xhr = null;
    }
    return xhr;
}

var request = createCORSRequest("get", "http://www.somewhere-else.com/page/");
if(request){
    request.onload = function(){
        // 对request.responseText 进行处理
    };
    request.send();
}
(二)JSONP(JSON with Padding 填充式JSON 或参数式JSON)

在 js 中,我们虽然不能直接用XMLHttpRequest请求不同域上的数据时,但是在页面上引入不同域伤的 js 脚本文件确是可以的,jsonp正是利用这个特性来实现的。

JSONP 由两部分组成:回调函数和数据。回调函数是当响应到来时,应该在页面中调用的函数,而数据就是传入回调函数中的JSON数据。

eg:

<script type="text/javascript>
    function dosomething(jsondata){
        // 处理获得的json数据
    }
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>

首先,第一个 script 便签定义了一个处理数据的函数,

然后第二个 script 标签载入了一个js文件,http://example.com/data.php 是数据所在地址,但是因为是当做js来引入的,所以http://example.com/data.php 返回的必须是一个能执行的js文件;

最后 js 文件载入成功后会执行我们在url参数中指定的函数,并且会把我们需要的 json 数据作为参数传入。所以php应该是这样的:

<?php
    $callback = $_GET['callback'];// 得到回调函数名
    $data = array('a', 'b', 'c');// 得到返回的数据
    echo $callback.'('.json_encode($data).')';// 输出
?>

最终,输出结果为:dosomething(['a', 'b', 'c']);

从上面可以看出 jsonp 是需要服务器端的页面进行相应的配合的。

JSONP的优缺点:

优点:

  • 它的兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持;
  • 能够直接访问响应文本,支持在浏览器与服务器之间双向通信

缺点:

  • JSONP 是从其他域中加载代码执行。如果其他域不安全,很可能会在响应中夹带一些恶意代码,而此时除了完全放弃JSONP 调用之外,没有办法追究。因此在使用不是你自己运维的Web 服务时,一定得保证它安全可靠。
  • 它只支持GET请求而不支持POST等其它类型的HTTP请求;它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。
(三)window.name

window 对象有个 name 属性,该属性有个特征:即在一个窗口(window)的生命周期内,窗口载入的所有页面都是共享一个window.name的,每个页面对window.name都有读写的权限,

这里有三个页面:

  • a.com/app.html:应用页面。
  • a.com/proxy.html:代理文件,一般是一个没有任何内容的html文件,需要和应用页面在同一域下。
  • b.com/data.html:应用页面需要获取数据的页面,可称为数据页面。

app.html

<iframe src="b.com/data.html" id="iframe"></iframe>
<script>
    var iframe = document.getElementById("iframe");
    iframe.src = "a.com/proxy.html";//这是一个与a.com/app.html同源的页面
    iframe.onload = function(){        
        var data = iframe.contentWindow.name; //取到数据
    }
</script>

data.html

<script>
    // 这里是要传输的数据,大小一般为2M,IE和firefox下可以大至32M左右
    // 数据格式可以自定义,如json、字符串
    window.name = "数据"
</script>

iframe 首先的地址是 b.com/data.html ,所以能取到 window.name 数据;
但是 iframe 现在跟 app.html 并不同源,app.html无法获取到数据,所以又将 iframe 的链接跳转至 a.com/proxy.html 这个代理页面,现在 app.html 跟 iframe 就同源了。

注意:iframe 由 b.com/data.html 跳转到 a.com/proxy.html 页面,window.name 的 value 是不变的

获取数据以后销毁这个iframe,释放内存;这也保证了安全(不被其他域frame js访问)

<script type="text/javascript">
    iframe.contentWindow.document.write('');
    iframe.contentWindow.close();    
    document.body.removeChild(iframe);
</script>
(四)document.domain + iframe

对于主域相同而子域不同的例子,可以通过设置 document.domain 的办法来解决。

具体的做法是可以在 http://www.a.com/a.htmlhttp://script.a.com/b.html 两个文件中分别设置document.domain = 'a.com',然后通过 a.html 文件中创建一个 iframe,去控制 iframe 的 contentDocument ,这样两个 js 文件之间就可以“交互”了。

http://www.a.com/a.html页面:

<iframe src="http://script.a.com/b.html" frameborder="0"></iframe>
<script>
    document.domain = 'a.com';
</script>

http://script.a.com/b.html页面:

<script>
    document.domain = 'a.com';
</script>

这样俩个页面就可以通过 js 相互访问各种属性和对象了。

document.domain 的设置是有限制的,我们只能把 document.domain 设置成自身或更高一级的父域,且主域必须相同。

例如:a.b.example.com 中某个文档的 document.domain 可以设成 a.b.example.com、b.example.com 、example.com 中的任意一个,但是不可以设成 c.a.b.example.com,因为这是当前域的子域,也不可以设成 baidu.com,因为主域已经不相同了。

用法:

otherWindow.postMessage(message, targetOrigin);
  • otherWindow: 对接收信息页面的window的引用。可以是页面中iframe的contentWindow属性;window.+open的返回值;通过name或下标从window.frames取到的值。
  • message: 所要发送的数据,string类型。
  • targetOrigin: 用于限制otherWindow,“*”表示不作限制

数据发送端

a.com/index.html 中的代码:

<iframe id="ifr" src="b.com/index.html"></iframe>
<script type="text/javascript">
window.onload = function() {    
     var ifr = document.getElementById('ifr');    
     var targetOrigin = 'http://b.com';  // 设定接收端的域,*则为不限制
                                       
     ifr.contentWindow.postMessage('I was there!', targetOrigin);
};
</script>

数据接收端

b.com/index.html 中的代码:

<script type="text/javascript">
    window.addEventListener('message', function(event){        
        // 通过origin属性判断消息来源地址
        if (event.origin == 'http://a.com') {
            alert(event.data);    // 弹出"I was there!"
            alert(event.source);  // 对a.com、index.html中window对象的引用
                           // 但由于同源策略,这里event.source不可以访问window对象
        }
    }, false);
</script>

原文地址: http://www.cnblogs.com/2050/p/3191744.html#3322244

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,185评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,445评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,684评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,564评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,681评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,874评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,025评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,761评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,217评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,545评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,694评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,351评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,988评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,778评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,007评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,427评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,580评论 2 349

推荐阅读更多精彩内容