同源策略
浏览器出于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
本域指的是:
- 同域名:例如都是google.com/a 和google.com/b
- 同端口:例如都是80端口,(如果没有写端口,默认是80端口)
- 同协议:例如都是http或者https
需要注意的是: 对于当前页面来说页面存放的 JS 文件的域不重要,重要的是加载该 JS 页面所在什么域
跨域的实现方式
JSONP
JSONP是通过script标签加载数据的方式获取数据当做JS代码来执行,提前在页面上声明一个函数,函数名通过接口传参的方式传给后台,后台解析到函数名后在原始数据上 ‘ 包裹 ’ 这个函数名发送给前端。换句话说,JSONP需要对应接口的后端的配合才能实现。
function fn(data){
console.log(data);
}
<script src="http://api.jirengu.com/seather.php?callback=fn"></script>
假设后端返回数据是{weather:'晴天'},在与后端协商之后让后端放回数据为fn({'weather':'晴天'});
如上代码,当请求到达后端后,后端会去解析callback这个参数获取到字符串fn,前端script标签在加载数据后会把fn({'weather':'晴天'})作为js执行,这实际上就是调用fn这个函数,同时参数是{'weather':'晴天'},所以只需要在加载前在页面提前定义好fn这个全局函数,在函数内部处理参数即可。
CORS
CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。 实现方式很简单,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。
var http = require('http');
var path = require('path');
var fs = require('fs');
var url = require('url');
http.createServer(function(req,res){
var pathObj = url.parse(req.url,true);
});
switch (pathObj.pathname) {
case 'getNews':
var news = [
'news1',
'news2'
];
//在响应头加上该属性,
//浏览器会去比较Oringin是否一致,一致则允许请求,得到该数据,不一样就拒绝
//*星号表示任何人都可以使用该数据
res.setHeader('Access-Control-Allow-Origin','*');
res.end(JSON.stringify(news));
break;
default:
fs.readFile(path.join(_dirname,pathObj.pathname), function (e,data){
if(e){
res.writeHead(404,'not found');
res.end('<h1>404 Not Found</h1>');
}else{
res.end(data);
}
}).listen(8080);
}
降域
对于frame;一般情况下dom是无法获取操作不同域下的frame数据,如果有需求,可以使用降域的方式来实现,不过降域实现是有条件限制的,举例来说,
a.google.com这个页面中有一个iframe地址是b.google.com,那么我们可以这样实现降域,如下:
<script>
//实现降域
document.domain = 'google.com';
</script>
postMessage
如果域名完全不同的情况下需要操作frame,可以使用postMessage;
window.postMessage允许多个 window/frame之间跨域传递数据和信息,该方法可以通过绑定window的message事件来监听发送跨文档消息传输内容
