跨域方法整理

在讲跨域前必须了解同源策略:同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当一个百度浏览器执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。简单的一句话就是:“如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin)。”下图为是否同源:

  

为了保证用户信息的安全,防止恶意的网站窃取数据。同源策略下:Cookie、LocalStorage 和 IndexDB 无法读取,DOM 无法获得,AJAX 请求不能发送。(ps:如果想更多了解同源策略可以看阮一峰大神的博客:http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html)。

  为了解决不同源之间通讯,跨域因此而生:

    方法一:JSONP

jsonp:JSONP是json with padding的简称,jsonp看起来跟json差不多,只不过是包含在函数中的json数据而已。

callback({"name":"xiaotutu"});

因为script标签是不受同源策略影响的,它可以引入来自任何地方的js文件。而jsonp的原理就是,在客户端和服务端定义一个函数,当客户端发起一个请求时,服务端返回一段javascript代码,其中调用了在客户端定义的函数,并将相应的数据作为参数传入该函数。一般情况下,为了这个script标签能够动态的调用,我们可以通过javascript动态的创建script标签,这样我们就可以灵活调用远程服务了。代码如下:

        

function jsonp_callback(data) {
    console.log(data);
}
function jsonpAjax(){
    var url = "http://a.com/b.php?jsonp_callback=jsonp_callback";
    var script = document.createElement(‘script‘);
    // 发送请求
    script.src = url;
    document.head.appendChild(script);
}
jsonpAjax()

当服务器接受到callback时候会返回相应的代码

jsonp_callback({
   "name": "chentutu"
});

jsonp是想对来说比较简单的,灵活的利用了<script>的不受限制从其它域加载资源。因为javascript是有效代码所以在请求完成后,就会被立即执行。

方法二:<img>

跟script一样能不受其它域限制加载资源,使用它们的onload和onerror事件处理程序来确定是否响应。但它只能用来发送GET请求,且无法获取服务端的响应文本,所以只能利用它实现一些简单的、单向的跨域通信,例如跟踪用户的点击。大家看看下面的例子:

var img = new Image();
img.onload = function(){
    console.log(‘done‘)
    img.onload = null;
    img = null;
}
img.src = "http://xx/xx.gif"

方法三:CORS

CORS(Cross-Origin Resource Sharing,跨源资源共享)是W3C小组制定的一个标准,它允许浏览器实现跨域通信。通过建立一个XmlHttpRequest对象,CORS允许开发者象实现同源请求那样实现跨源请求。CORS(跨源资源共享)的实现目标非常简单。假设站点B想访问站点A中的某些数据,使用同源请求将不能满足这一需求。但是,通过CORS请求,站点A可以通过在部分页面中加入特殊的响应头的方法来允许站点B访问。

注意CORS只支持以下浏览器:

  • Chrome 3以上版本的浏览器
  • Firefox 3.5以上版本的浏览器
  • Safari 4以上版本的浏览器
  • Internet Explorer 8以上版本的浏览器

下面就是一个创建请求对象的代码:

 function createCORSRequest(method, url) {
    var xhr = new XMLHttpRequest();
    if ("withCredentials" in xhr) {
        //检查XMLHttpRequest对象是否拥有一个withCredentials属性
        //withCredentials属性只属于XMLHTTPRequest2对象
        xhr.open(method, url, true);
    }
    else if (typeof XDomainRequest != "undefined") {
        //否则,检查XDomainRequest对象 Otherwise, check if XDomainRequest.
        //XDomainRequest对象只存在于IE浏览器中,且被IE浏览器用来创建CORS请求
        xhr = new XDomainRequest();
        xhr.open(method, url);

    }
    else {
        //否则,CORS不被当前浏览器支持
        xhr = null;
    }
    return xhr;
}

var xhr = createCORSRequest(‘GET‘, url);
if (!xhr) {
    throw new Error(‘CORS不被支持!‘);
}

在默认情况下,标准的CORS请求不发送或设置任何cookie。为了在请求中包含cookie,你需要将XmlHttpRequest对象的withCredentials属性值设为true。为了达到目的,服务器端必须将Access-Control-Allow-Credentials响应头设为true。.withCredentials属性值的设置将会使跨源请求中可以包含任何cookie,开发者也可以通过使用该属性值来跨源设置任何cookie。请注意,这些cookie也可以使用同源安全策略,即被跨源设置的cookie中的内容不能被同源的JavaScript脚本代码所访问,只能被设置这些cookie的源所访问。

一个使用CORS请求的完整代码示例如下所示:

//创建XHR对象
function createCORSRequest(method, url) {
    var xhr = new XMLHttpRequest();
    if ("withCredentials" in xhr) {
        //Chrome/Safari/Firefox浏览器中的XHR对象
        xhr.open(method, url, true);
    }
    else if (typeof XDomainRequest != "undefined") {
        //在IE浏览器中创建XDomainRequest对象
        xhr = new XDomainRequest();
        xhr.open(method, url);
    }
    else {
        //CORS不被支持.
        xhr = null;
    }
    return xhr;
}
//从服务器端响应中获取title标签
function getTitle(text) {
    return text.match(‘‘)[1];
}
//创建CORS请求
function makeCorsRequest() {
    // bibliographica.org支持CORS请求
    var url = ‘http://bibliographica.org/‘;

    var xhr = createCORSRequest(‘GET‘, url);
    if (!xhr) {
        alert(‘您的浏览器不支持跨源请求‘);
        return;
    }

    //处理服务器端响应
    xhr.onload = function() {
        var text = xhr.responseText;
        var title = getTitle(text);
        alert(‘来自‘ + url + ‘的响应: ‘ + title);
    };

    xhr.onerror = function() {
        alert(‘跨源请求失败!‘);
    };
    xhr.send();
}

CORS分为简单和非简单模式:详细请见阮一峰大神的博客:http://www.ruanyifeng.com/blog/2016/04/cors.html

方法四:document.domain

  • 原理:相同主域名不同子域名下的页面,可以设置document.domain让它们同域
  • 限制:同域document提供的是页面间的互操作,需要载入iframe页面

以下是document.domain实际操作的代码:

var ifr = document.createElement(‘iframe‘);
ifr.src = ‘http://b.a.com/bar‘;
ifr.onload = function(){
    var ifrdoc = ifr.contentDocument || ifr.contentWindow.document;
    ifrdoc.getElementsById("foo").innerHTML);
};

ifr.style.display = ‘none‘;
document.body.appendChild(ifr);

注意:如果修改了document.domain,则在某些机器上的IE678里,获取location.href有权限异常。document.domain只能从子域设置到主域,往下设置以及往其他域名设置都是不允许的。

方法五:window.postMessage

  • 原理:HTML5允许窗口之间发送消息
  • 限制:浏览器需要支持HTML5,获取窗口句柄后才能相互通信
//发送端
var win = window.open(‘http://b.com/bar‘);
win.postMessage(‘Hello world!‘, ‘http://b.com‘); 

//接收端
window.addEventListener(‘message‘,function(event) {
    console.log(event.data);
});

想了解window.postMessage的博友可以看看张鑫旭老师的博客:http://www.zhangxinxu.com/wordpress/2012/02/html5-web-messaging-cross-document-messaging-channel-messaging/

方法六:WebSocket

WebSocket 是HTML5一种新的协议。它实现了浏览器与服务器全双工通信,同时允许跨域通讯,是server push技术的一种很棒的实现。(不用http协议有自己的一套协议)。

在客户端的实例:

var ws = new WebSocket(‘ws://127.0.0.1:8080/url‘); //新建一个WebSocket对象,注意服务器端的协议必须为“ws://”或“wss://”,其中ws开头是普通的websocket连接,wss是安全的websocket连接,类似于https。
ws.onopen = function() {
    // 连接被打开时调用
};
ws.onerror = function(e) {
    // 在出现错误时调用,例如在连接断掉时
};
ws.onclose = function() {
    // 在连接被关闭时调用
};
ws.onmessage = function(msg) {
    // 在服务器端向客户端发送消息时调用
    // msg.data包含了消息
};
// 这里是如何给服务器端发送一些数据
ws.send(‘some data‘);
// 关闭套接口
ws.close();

详情大家还是看红宝书591吧。

时间: 2024-10-06 00:38:44

跨域方法整理的相关文章

常用跨域方法实践(一)

这几天看了鬼道师兄的<跨终端Web>这本书,该书从解决实际业务出发,讲述了跨终端的优势与未来,受益良多.其中,书中第九章介绍了作者在阿里内部的一个参赛作品Storage,该作品巧妙的使用了跨域知识,让我见识到跨域其实不仅仅是JSONP.以前,对前端跨域这块或多或少有点了解,但真正动手实践的不是很多.于是,这段时间我好好整理了常用跨域方法的具体实现.本文,主要介绍了JSONP和CORS的实现方式. 相关概念: 只要协议.域名.端口有任何一个不同,都被当作是不同的域 JavaScript出于安全方

js中几种实用的跨域方法原理详解(转)

今天研究js跨域问题的时候发现一篇好博,非常详细地讲解了js几种跨域方法的原理,特分享一下. 原博地址:http://www.cnblogs.com/2050/p/3191744.html 下面正文开始 这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被当作是不同的域. 下表给出了相对http://store.company.com/dir/pag

js中几种实用的跨域方法原理详解

这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被当作是不同的域. 下表给出了相对http://store.company.com/dir/page.html同源检测的结果: 要解决跨域的问题,我们可以使用以下几种方法: 一.通过jsonp跨域 在js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的.但是,在页面上引入不同

[转]js中几种实用的跨域方法原理详解

转自:js中几种实用的跨域方法原理详解 - 无双 - 博客园 这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被当作是不同的域. 下表给出了相对http://store.company.com/dir/page.html同源检测的结果: 要解决跨域的问题,我们可以使用以下几种方法: 一.通过jsonp跨域 在js中,我们直接用XMLHttpRequ

深入理解前端跨域方法和原理

前言 受浏览器同源策略的限制,本域的js不能操作其他域的页面对象(比如DOM).但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦.所以我们要通过一些方法使本域的js能够操作其他域的页面对象或者使其他域的js能操作本域的页面对象(iframe之间). 这里需要明确的一点是:所谓的域跟js的存放服务器没有关系,比如baidu.com的页面加载了google.com的js,那么此js的所在域是baidu.com而不是google.com.也就是说,此时该js能操作baidu.co

[转载] js中几种实用的跨域方法原理详解

框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被当作是不同的域. 下表给出了相对http://store.company.com/dir/page.html同源检测的结果: 要解决跨域的问题,我们可以使用以下几种方法: 一.通过jsonp跨域 在js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的.但是,在页面上引入不同域上的js脚本文件却是可以的,jsonp正是利用这个特性来实现的. 比如,有个a.html页面,它里面的代码需要利用ajax获取一

javascript 中几种实用的跨域方法原理详解(转)

原文:http://blog.csdn.net/primary_wind/article/details/40062985 这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被当作是不同的域. 下表给出了相对http://store.company.com/dir/page.html同源检测的结果: 要解决跨域的问题,我们可以使用以下几种方法: 一.

【转】js中几种实用的跨域方法原理详解

这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被当作是不同的域. 下表给出了相对http://store.company.com/dir/page.html同源检测的结果: 要解决跨域的问题,我们可以使用以下几种方法: 一.通过jsonp跨域 在js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的.但是,在页面上引入不同

js中几种实用的跨域方法原理详解(转)

这里说的js跨域是指通过js在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据.只要协议.域名.端口有任何一个不同,都被当作是不同的域. 下表给出了相对http://store.company.com/dir/page.html同源检测的结果: 要解决跨域的问题,我们可以使用以下几种方法: 一.通过jsonp跨域 在js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的.但是,在页面上引入不同