瀏覽器跨域的幾種方法

CORS

實現(xiàn)CORS需要瀏覽器和服務(wù)器的共同協(xié)作鲸阔。對于前端開發(fā)者來說,CORS通信與同源的AJAX在代碼方面沒有差別嗅蔬。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源蜘渣,就會自動添加附加一些請求頭信息,有時候還會多出一次附加的請求杰刽,但用戶不會察覺菠发。
因此王滤,CORS通信的關(guān)鍵就在于后端代碼的實現(xiàn),只要服務(wù)器實現(xiàn)了CORS接口雷酪,就可以跨源通信淑仆。

瀏覽器將CORS請求分成兩類:簡單請求(simple request)和非簡單請求(not-so-simple request)。

  • 簡單請求
    • 請求方法是以下三種方法之一:
      • HEAD
      • GET
      • POST
    • HTTP的頭信息不超出以下幾種字段:
      • Accept
      • Accept-Language
      • Content-Language
      • Last-Event-ID
      • Content-Type:只限于三個值application/x-www-form-urlencoded哥力、multipart/form-data蔗怠、text/plain
  • 非簡單請求
    • 凡是不同時滿足上面兩個條件,就屬于非簡單請求

兩種請求瀏覽器對他們的處理方式也不一樣

簡單請求處理流程

(發(fā)起AJAX請求) ==> (瀏覽器發(fā)現(xiàn)請求為跨源AJAX簡單請求)==>(瀏覽器自動在頭信息里添加Origin字段) ==>(服務(wù)器根據(jù)收到的Origin字段來決定是否同意這次請求)==> (瀏覽器得到回應(yīng)吩跋,根據(jù)返回的頭信息沒有包含Access-Control-Allow-Origin字段判斷本次CORS請求是否成功)

Origin字段: 用來說明寞射,本次請求來自哪個源(協(xié)議 + 域名 + 端口)

非簡單請求處理流程

(向自動發(fā)出預(yù)檢請求)==> (服務(wù)器回應(yīng)預(yù)檢請求)==> (服務(wù)器同意則會返回一個帶Access-Control-Allow-Origin頭信息的HTTP回應(yīng)) ==> (瀏覽器判斷預(yù)檢請求是否被允許) ==>(如果預(yù)檢請求被通過,以后每次的非簡單請求锌钮,就都和簡單請求一樣)


代碼示例:

簡單請求

  var url = 'http://api.a.com/cors';// 在本站地址http://localhost:8080
  var xhr = new XMLHttpRequest();
  xhr.open('get',url,true);
  xhr.send()

非簡單請求

  var url = 'http://api.a.com/cors';// 在本站地址http://localhost:8080
  var xhr = new XMLHttpRequest();
  xhr.open('put',url,true); //發(fā)起的非GET POST HEAD 的請求
  xhr.send()

參考文章

JSONP

利用HTML中script標(biāo)簽可以引入其他域下的js的特性桥温,來實現(xiàn)跨域訪問接口。后端配合返回如下格式的數(shù)據(jù):

dosomething({
  ’aa‘:'bb',
  ‘cc’:{....}
})

因為是script標(biāo)簽的請求梁丘,所以返回的數(shù)據(jù)會作為javascript去執(zhí)行侵浸。那么我們只用再定義一個dosomething函數(shù)就可以了,他的參數(shù)就是返回的json數(shù)據(jù)氛谜。

<script type="text/javascript">
   function dosomething(json){
     //處理JSONP放回的數(shù)據(jù)
   }
</script>
  <script src="http://api.a.com/cors?callback=dosomething"></script>

修改document.domain

在頁面 http://b.example.com/a.html 中設(shè)置document.domain:

  <div class='main' >
    <input type="text">
  </div>
<iframe  src="http://a.example.com/b.html"></iframe>
<script type="text/javascript">
    document.domain = 'example.com';//設(shè)置成主域
  document.querySelector('.main input').addEventListener('input',function(){
  console.log(this.value);
  window.frames[0].document.querySelector('input').value = this.value;//對調(diào)用的iframe進行dom操作
})
</script>

在頁面 http://b.example.com/b.html 中也設(shè)置document.domain:

 <div class='main' >
    <input id='input' type="text">
  </div>
<script type="text/javascript">
document.domain = 'example.com';//設(shè)置成主域
     document.querySelector('#input').addEventListener('input',function(){
  window.parent.document.querySelector('input').value = this.value;//因為是用iframe調(diào)用了b.html所用用window.parent來獲得父級頁面
})
</script>

兩個在同源下不同域的兩個頁面通過document.domain可以實現(xiàn)主域名一樣下兩個子域名網(wǎng)站做iframe嵌套的時候進行相互操作dom掏觉。

PostMassage

window.postMessage() 方法可以安全地實現(xiàn)跨源通信。

語法

示例

頁面http://b.example.com/b.html 中設(shè)置PostMessage

 <div class='main' >
    <input type="text">
  </div>
<iframe  src="http://a.example.com/b.html"></iframe>
<script type="text/javascript">
  document.querySelector('.main input').addEventListener('input',function(){
  console.log(this.value);
  window.frames[0].postMessage(this.value.'');// * 表示沒有指定域名值漫,也可以把*指定成固定的域名
})
window.addEventListener('message',function(e){ //監(jiān)聽message事件澳腹,可以監(jiān)聽別人給他發(fā)的內(nèi)容,然后拿出來使用
  document.querySelector('.main input').value = e.data
})
</script>

message事件還有如下屬性:

  • data
    從其他 window 中傳遞過來的對象杨何。
  • origin
    調(diào)用 postMessage時消息發(fā)送方窗口的 origin. 這個字符串由 協(xié)議酱塔、“://“、域名危虱、“ : 端口號”拼接而成羊娃。例如 “https://example.org(implying port 443)”、“http://example.net(implying port 80)”埃跷、“http://example.com:8080”迁沫。請注意,這個origin不能保證是該窗口的當(dāng)前或未來origin捌蚊,因為postMessage被調(diào)用后可能被導(dǎo)航到不同的位置集畅。
  • source
    對發(fā)送消息的窗口對象的引用; 您可以使用此來在具有不同origin的兩個窗口之間建立雙向通信。

安全問題

如果你不希望從其他網(wǎng)站接收message缅糟,那么就不要為message事件添加任何事件偵聽器挺智。 這是一個完全萬無一失的方式來避免安全問題。如果你用了窗宦,那么在監(jiān)聽message事件的時候一定要做origin的驗證赦颇。如下:

function receiveMessage(event)
{  if (event.origin !== "http://example.org")
    return;
}
window.addEventListener("message", receiveMessage, false);

這樣你就可以保證你接受到的信息是來自你希望收到的網(wǎng)站

使用場景:

1.頁面和其打開的新窗口的數(shù)據(jù)傳遞
2.多窗口之間消息傳遞
3.頁面與嵌套的iframe消息傳遞

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末二鳄,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子媒怯,更是在濱河造成了極大的恐慌订讼,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,729評論 6 517
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件扇苞,死亡現(xiàn)場離奇詭異欺殿,居然都是意外死亡,警方通過查閱死者的電腦和手機鳖敷,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,226評論 3 399
  • 文/潘曉璐 我一進店門脖苏,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人定踱,你說我怎么就攤上這事棍潘。” “怎么了崖媚?”我有些...
    開封第一講書人閱讀 169,461評論 0 362
  • 文/不壞的土叔 我叫張陵亦歉,是天一觀的道長。 經(jīng)常有香客問我畅哑,道長肴楷,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 60,135評論 1 300
  • 正文 為了忘掉前任敢课,我火速辦了婚禮,結(jié)果婚禮上绷杜,老公的妹妹穿的比我還像新娘直秆。我一直安慰自己,他們只是感情好鞭盟,可當(dāng)我...
    茶點故事閱讀 69,130評論 6 398
  • 文/花漫 我一把揭開白布圾结。 她就那樣靜靜地躺著,像睡著了一般齿诉。 火紅的嫁衣襯著肌膚如雪筝野。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 52,736評論 1 312
  • 那天粤剧,我揣著相機與錄音歇竟,去河邊找鬼。 笑死抵恋,一個胖子當(dāng)著我的面吹牛焕议,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播弧关,決...
    沈念sama閱讀 41,179評論 3 422
  • 文/蒼蘭香墨 我猛地睜開眼盅安,長吁一口氣:“原來是場噩夢啊……” “哼唤锉!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起别瞭,我...
    開封第一講書人閱讀 40,124評論 0 277
  • 序言:老撾萬榮一對情侶失蹤窿祥,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后蝙寨,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體晒衩,經(jīng)...
    沈念sama閱讀 46,657評論 1 320
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,723評論 3 342
  • 正文 我和宋清朗相戀三年籽慢,在試婚紗的時候發(fā)現(xiàn)自己被綠了浸遗。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 40,872評論 1 353
  • 序言:一個原本活蹦亂跳的男人離奇死亡箱亿,死狀恐怖跛锌,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情届惋,我是刑警寧澤髓帽,帶...
    沈念sama閱讀 36,533評論 5 351
  • 正文 年R本政府宣布,位于F島的核電站脑豹,受9級特大地震影響郑藏,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜瘩欺,卻給世界環(huán)境...
    茶點故事閱讀 42,213評論 3 336
  • 文/蒙蒙 一必盖、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧俱饿,春花似錦歌粥、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,700評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至枣购,卻和暖如春嬉探,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背棉圈。 一陣腳步聲響...
    開封第一講書人閱讀 33,819評論 1 274
  • 我被黑心中介騙來泰國打工涩堤, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人分瘾。 一個月前我還...
    沈念sama閱讀 49,304評論 3 379
  • 正文 我出身青樓定躏,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子痊远,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 45,876評論 2 361

推薦閱讀更多精彩內(nèi)容

  • 歡迎關(guān)注微信公眾號:全棧工廠 本文主要參考跨域資源共享 CORS 詳解[http://www.ruanyifeng...
    liqingbiubiu閱讀 1,849評論 0 3
  • 跨域是什么 同源策略 在講解什么是跨域之前先要清楚什么是同源策略垮抗,“同源政策”(same-origin polic...
    JRG_Orange閱讀 963評論 0 52
  • 跨域資源共享 CORS 對于web開發(fā)來講,由于瀏覽器的同源策略碧聪,我們需要經(jīng)常使用一些hack的方法去跨域獲取資源...
    默默先生Alec閱讀 591評論 0 0
  • 什么是同源策略冒版? 同源策略是指,瀏覽器出于安全方面的考慮逞姿,只允許與本域下的接口交互辞嗡。不同源的客戶端腳本在沒有明確授...
    upup_dayday閱讀 257評論 0 0
  • 什么是同源策略 瀏覽器出于安全方面的考慮,只允許與本域下的接口交互滞造。不同源的客戶端腳本在沒有明確授權(quán)的情況下续室,不能...
    ezrealor閱讀 496評論 0 1