CORS
實現(xiàn)CORS需要瀏覽器和服務(wù)器的共同協(xié)作鲸阔。對于前端開發(fā)者來說,CORS通信與同源的AJAX在代碼方面沒有差別嗅蔬。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源蜘渣,就會自動添加附加一些請求頭信息,有時候還會多出一次附加的請求杰刽,但用戶不會察覺菠发。
因此王滤,CORS通信的關(guān)鍵就在于后端代碼的實現(xiàn),只要服務(wù)器實現(xiàn)了CORS接口雷酪,就可以跨源通信淑仆。
瀏覽器將CORS請求分成兩類:簡單請求(simple request)和非簡單請求(not-so-simple request)。
- 簡單請求
- 請求方法是以下三種方法之一:
- HEAD
- GET
- POST
- HTTP的頭信息不超出以下幾種字段:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Content-Type:只限于三個值application/x-www-form-urlencoded哥力、multipart/form-data蔗怠、text/plain
- 請求方法是以下三種方法之一:
- 非簡單請求
- 凡是不同時滿足上面兩個條件,就屬于非簡單請求
兩種請求瀏覽器對他們的處理方式也不一樣
簡單請求處理流程
(發(fā)起AJAX請求) ==> (瀏覽器發(fā)現(xiàn)請求為跨源AJAX簡單請求)==>(瀏覽器自動在頭信息里添加Origin字段
) ==>(服務(wù)器根據(jù)收到的Origin字段
來決定是否同意這次請求)==> (瀏覽器得到回應(yīng)吩跋,根據(jù)返回的頭信息沒有包含Access-Control-Allow-Origin
字段判斷本次CORS請求是否成功)
Origin字段: 用來說明寞射,本次請求來自哪個源(協(xié)議 + 域名 + 端口)
非簡單請求處理流程
(向自動發(fā)出預(yù)檢請求)==> (服務(wù)器回應(yīng)預(yù)檢請求)==> (服務(wù)器同意則會返回一個帶Access-Control-Allow-Origin頭信息的HTTP回應(yīng)) ==> (瀏覽器判斷預(yù)檢請求是否被允許) ==>(如果預(yù)檢請求被通過,以后每次的非簡單請求锌钮,就都和簡單請求一樣)
代碼示例:
簡單請求
var url = 'http://api.a.com/cors';// 在本站地址http://localhost:8080
var xhr = new XMLHttpRequest();
xhr.open('get',url,true);
xhr.send()
非簡單請求
var url = 'http://api.a.com/cors';// 在本站地址http://localhost:8080
var xhr = new XMLHttpRequest();
xhr.open('put',url,true); //發(fā)起的非GET POST HEAD 的請求
xhr.send()
JSONP
利用HTML中script標(biāo)簽可以引入其他域下的js的特性桥温,來實現(xiàn)跨域訪問接口。后端配合返回如下格式的數(shù)據(jù):
dosomething({
’aa‘:'bb',
‘cc’:{....}
})
因為是script標(biāo)簽的請求梁丘,所以返回的數(shù)據(jù)會作為javascript去執(zhí)行侵浸。那么我們只用再定義一個dosomething函數(shù)就可以了,他的參數(shù)就是返回的json數(shù)據(jù)氛谜。
<script type="text/javascript">
function dosomething(json){
//處理JSONP放回的數(shù)據(jù)
}
</script>
<script src="http://api.a.com/cors?callback=dosomething"></script>
修改document.domain
在頁面 http://b.example.com/a.html 中設(shè)置document.domain:
<div class='main' >
<input type="text">
</div>
<iframe src="http://a.example.com/b.html"></iframe>
<script type="text/javascript">
document.domain = 'example.com';//設(shè)置成主域
document.querySelector('.main input').addEventListener('input',function(){
console.log(this.value);
window.frames[0].document.querySelector('input').value = this.value;//對調(diào)用的iframe進行dom操作
})
</script>
在頁面 http://b.example.com/b.html 中也設(shè)置document.domain:
<div class='main' >
<input id='input' type="text">
</div>
<script type="text/javascript">
document.domain = 'example.com';//設(shè)置成主域
document.querySelector('#input').addEventListener('input',function(){
window.parent.document.querySelector('input').value = this.value;//因為是用iframe調(diào)用了b.html所用用window.parent來獲得父級頁面
})
</script>
兩個在同源下不同域的兩個頁面通過document.domain
可以實現(xiàn)主域名一樣下兩個子域名網(wǎng)站做iframe嵌套的時候進行相互操作dom掏觉。
PostMassage
window.postMessage() 方法可以安全地實現(xiàn)跨源通信。
示例
頁面http://b.example.com/b.html 中設(shè)置PostMessage
<div class='main' >
<input type="text">
</div>
<iframe src="http://a.example.com/b.html"></iframe>
<script type="text/javascript">
document.querySelector('.main input').addEventListener('input',function(){
console.log(this.value);
window.frames[0].postMessage(this.value.'');// * 表示沒有指定域名值漫,也可以把*指定成固定的域名
})
window.addEventListener('message',function(e){ //監(jiān)聽message事件澳腹,可以監(jiān)聽別人給他發(fā)的內(nèi)容,然后拿出來使用
document.querySelector('.main input').value = e.data
})
</script>
message事件還有如下屬性:
-
data
從其他 window 中傳遞過來的對象杨何。 -
origin
調(diào)用 postMessage時消息發(fā)送方窗口的 origin. 這個字符串由 協(xié)議酱塔、“://“、域名危虱、“ : 端口號”拼接而成羊娃。例如 “https://example.org(implying port 443)”、“http://example.net(implying port 80)”埃跷、“http://example.com:8080”迁沫。請注意,這個origin不能保證是該窗口的當(dāng)前或未來origin捌蚊,因為postMessage被調(diào)用后可能被導(dǎo)航到不同的位置集畅。 -
source
對發(fā)送消息的窗口對象的引用; 您可以使用此來在具有不同origin的兩個窗口之間建立雙向通信。
安全問題
如果你不希望從其他網(wǎng)站接收message缅糟,那么就不要為message事件添加任何事件偵聽器挺智。 這是一個完全萬無一失的方式來避免安全問題。如果你用了窗宦,那么在監(jiān)聽message事件的時候一定要做origin的驗證赦颇。如下:
function receiveMessage(event)
{ if (event.origin !== "http://example.org")
return;
}
window.addEventListener("message", receiveMessage, false);
這樣你就可以保證你接受到的信息是來自你希望收到的網(wǎng)站
使用場景:
1.頁面和其打開的新窗口的數(shù)據(jù)傳遞
2.多窗口之間消息傳遞
3.頁面與嵌套的iframe消息傳遞