一虏冻、什么是跨域?
在了解跨域之前弹囚,首先要知道什么是同源策略(same-origin policy)厨相。簡(jiǎn)單來(lái)講同源策略就是瀏覽器為了保證用戶信息的安全,防止惡意的網(wǎng)站竊取數(shù)據(jù)鸥鹉,禁止不同域之間的JS進(jìn)行交互蛮穿。對(duì)于瀏覽器而言只要域名、協(xié)議毁渗、端口其中一個(gè)不同就會(huì)引發(fā)同源策略践磅,從而限制他們之間如下的交互行為:
1.Cookie、LocalStorage和IndexDB無(wú)法讀染囊臁府适;
2.DOM無(wú)法獲得;
3.AJAX請(qǐng)求不能發(fā)送肺樟。
跨域的嚴(yán)格一點(diǎn)的定義是:只要協(xié)議檐春,域名,端口有任何一個(gè)的不同么伯,就被當(dāng)作是跨域疟暖。
如下表所示:
URL 說(shuō)明 是否允許通信
http://www.a.com/a.js http://www.a.com/b.js 同一域名下 允許
http://www.a.com/lab/a.js http://www.a.com/script/b.js 同一域名下不同文件夾 允許
http://www.a.com:8000/a.js http://www.a.com/b.js 同一域名,不同端口 不允許
http://www.a.com/a.js https://www.a.com/b.js 同一域名田柔,不同協(xié)議 不允許
http://www.a.com/a.js http://70.32.92.74/b.js 域名和域名對(duì)應(yīng)ip 不允許
http://www.a.com/a.js http://script.a.com/b.js 主域相同俐巴,子域不同 不允許
http://www.a.com/a.js http://a.com/b.js 同一域名,不同二級(jí)域名(同上) 不允許(cookie這種情況下也不允許訪問(wèn))
http://www.cnblogs.com/a.js http://www.a.com/b.js 不同域名 不允許
特別注意兩點(diǎn):
第一硬爆,如果是協(xié)議和端口造成的跨域問(wèn)題“前臺(tái)”是無(wú)能為力的欣舵,
第二:在跨域問(wèn)題上,域僅僅是通過(guò)“URL的首部”來(lái)識(shí)別而不會(huì)去嘗試判斷相同的ip地址對(duì)應(yīng)著兩個(gè)域或兩個(gè)域是否在同一個(gè)ip上缀磕。
“URL的首部”指window.location.protocol +window.location.host邻遏,也可以理解為“Domains, protocols and ports must match”糠亩。
二、為什么瀏覽器要限制跨域訪問(wèn)呢准验?
原因就是安全問(wèn)題:如果一個(gè)網(wǎng)頁(yè)可以隨意地訪問(wèn)另外一個(gè)網(wǎng)站的資源赎线,那么就有可能在客戶完全不知情的情況下出現(xiàn)安全問(wèn)題。比如下面的操作就有安全問(wèn)題:
1.用戶訪問(wèn)www.mybank.com糊饱,登陸并進(jìn)行網(wǎng)銀操作垂寥,這時(shí)cookie啥的都生成并存放在瀏覽器;
2.用戶突然想起件事另锋,并迷迷糊糊的訪問(wèn)了一個(gè)邪惡的網(wǎng)站www.xiee.com滞项;
3.這時(shí)該網(wǎng)站就可以在它的頁(yè)面中,拿到銀行的cookie夭坪,比如用戶名文判,登陸token等,然后發(fā)起對(duì)www.mybank.com的操作室梅;
4.如果這時(shí)瀏覽器不予限制戏仓,并且銀行也沒(méi)有做響應(yīng)的安全處理的話,那么用戶的信息有可能就這么泄露了亡鼠。
三赏殃、為什么要跨域?
既然有安全問(wèn)題间涵,那為什么又要跨域呢仁热? 有時(shí)公司內(nèi)部有多個(gè)不同的子域,比如一個(gè)是location.company.com ,而應(yīng)用是放在app.company.com , 這時(shí)想從 app.company.com去訪問(wèn) location.company.com 的資源就屬于跨域勾哩。
四抗蠢、解決跨域問(wèn)題的方法:
1.跨域資源共享(CORS)
CORS(Cross-Origin Resource Sharing)跨域資源共享,定義了必須在訪問(wèn)跨域資源時(shí)思劳,瀏覽器與服務(wù)器應(yīng)該如何溝通物蝙。CORS背后的基本思想就是使用自定義的HTTP頭部讓瀏覽器與服務(wù)器進(jìn)行溝通,從而決定請(qǐng)求或響應(yīng)是應(yīng)該成功還是失敗敢艰。
服務(wù)器端對(duì)于CORS的支持诬乞,主要就是通過(guò)設(shè)置Access-Control-Allow-Origin來(lái)進(jìn)行的。如果瀏覽器檢測(cè)到相應(yīng)的設(shè)置钠导,就可以允許Ajax進(jìn)行跨域的訪問(wèn)震嫉。
只需要在后臺(tái)中加上響應(yīng)頭來(lái)允許域請(qǐng)求!在被請(qǐng)求的Response header中加入以下設(shè)置牡属,就可以實(shí)現(xiàn)跨域訪問(wèn)了票堵!
如下所示:
//指定允許其他域名訪問(wèn)
'Access-Control-Allow-Origin:*'//或指定域
//響應(yīng)類(lèi)型
'Access-Control-Allow-Methods:GET,POST'
//響應(yīng)頭設(shè)置
'Access-Control-Allow-Headers:x-requested-with,content-type'
2.通過(guò)jsonp跨域
JSONP是JSON with Padding(填充式j(luò)son)的簡(jiǎn)寫(xiě),是應(yīng)用JSON的一種新方法逮栅,只不過(guò)是被包含在函數(shù)調(diào)用中的JSON悴势,例如:
callback({"name","trigkit4"});
JSONP由兩部分組成:回調(diào)函數(shù)和數(shù)據(jù)窗宇。回調(diào)函數(shù)是當(dāng)響應(yīng)到來(lái)時(shí)應(yīng)該在頁(yè)面中調(diào)用的函數(shù)特纤,而數(shù)據(jù)就是傳入回調(diào)函數(shù)中的JSON數(shù)據(jù)军俊。
JSONP的原理:通過(guò)script標(biāo)簽引入一個(gè)js文件,這個(gè)js文件載入成功后會(huì)執(zhí)行我們?cè)趗rl參數(shù)中指定的函數(shù)捧存,并且會(huì)把我們需要的json數(shù)據(jù)作為參數(shù)傳入粪躬。所以jsonp是需要服務(wù)器端的頁(yè)面進(jìn)行相應(yīng)的配合的。(即用JavaScript動(dòng)態(tài)加載一個(gè)script文件昔穴,同時(shí)定義一個(gè)callback函數(shù)給script執(zhí)行而已镰官。)
在js中,我們直接用XMLHttpRequest請(qǐng)求不同域上的數(shù)據(jù)時(shí)吗货,是不可以的泳唠。但是,在頁(yè)面上引入不同域上的js腳本文件卻是可以的宙搬,jsonp正是利用這個(gè)特性來(lái)實(shí)現(xiàn)的笨腥。 例如:有個(gè)a.html頁(yè)面,它里面的代碼需要利用ajax獲取一個(gè)不同域上的json數(shù)據(jù)害淤,假設(shè)這個(gè)json數(shù)據(jù)地址是http://example.com/data.php,那么a.html中的代碼就可以這樣:
?<script type="text/javascript">
function dosomething(jsondata){
//處理獲得的json數(shù)據(jù)
}
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>
js文件載入成功后會(huì)執(zhí)行我們?cè)趗rl參數(shù)中指定的函數(shù)拓售,并且會(huì)把我們需要的json數(shù)據(jù)作為參數(shù)傳入窥摄。所以jsonp是需要服務(wù)器端的頁(yè)面進(jìn)行相應(yīng)的配合的。
?<?php
$callback = $_GET['callback'];//得到回調(diào)函數(shù)名
$data = array('a','b','c');//要返回的數(shù)據(jù)
echo $callback.'('.json_encode($data).')';//輸出
?>
最終础淤,輸出結(jié)果為:dosomething(['a','b','c']);
如果你的頁(yè)面使用jquery崭放,那么通過(guò)它封裝的方法就能很方便的來(lái)進(jìn)行jsonp操作了。jquery會(huì)自動(dòng)生成一個(gè)全局函數(shù)來(lái)替換callback=?中的問(wèn)號(hào)鸽凶,之后獲取到數(shù)據(jù)后又會(huì)自動(dòng)銷(xiāo)毀币砂,實(shí)際上就是起一個(gè)臨時(shí)代理函數(shù)的作用。$.getJSON方法會(huì)自動(dòng)判斷是否跨域玻侥,不跨域的話铆隘,就調(diào)用普通的ajax方法悬槽;跨域的話,則會(huì)以異步加載js文件的形式來(lái)調(diào)用jsonp的回調(diào)函數(shù)。
?<script type="text/javascript">
$.getJSON('http://example.com/data.php?callback=?,function(jsondata)'){
//處理獲得的json數(shù)據(jù)
});
</script>
JSONP的優(yōu)缺點(diǎn):
JSONP的優(yōu)點(diǎn)是:它不像XMLHttpRequest對(duì)象實(shí)現(xiàn)的Ajax請(qǐng)求那樣受到同源策略的限制尊浪;它的兼容性更好,在更加古老的瀏覽器中都可以運(yùn)行窍奋,不需要XMLHttpRequest或ActiveX的支持芭梯;并且在請(qǐng)求完畢后可以通過(guò)調(diào)用callback的方式回傳結(jié)果。
JSONP的缺點(diǎn)則是:它只支持GET請(qǐng)求而不支持POST等其它類(lèi)型的HTTP請(qǐng)求音半;它只支持跨域HTTP請(qǐng)求這種情況则拷,不能解決不同域的兩個(gè)頁(yè)面之間如何進(jìn)行JavaScript調(diào)用的問(wèn)題贡蓖。
CORS和JSONP對(duì)比:
CORS與JSONP相比,無(wú)疑更為先進(jìn)煌茬、方便和可靠斥铺。
(1)JSONP只能實(shí)現(xiàn)GET請(qǐng)求,而CORS支持所有類(lèi)型的HTTP請(qǐng)求宣旱;
(2)使用CORS仅父,開(kāi)發(fā)者可以使用普通的XMLHttpRequest發(fā)起請(qǐng)求和獲得說(shuō)句,比起JSONP有更好的錯(cuò)誤處理浑吟;
(3)JSONP主要被老的瀏覽器支持笙纤,它們往往不支持CORS,而絕大多數(shù)現(xiàn)代瀏覽器都已經(jīng)支持了CORS组力;
3.通過(guò)修改document.domain來(lái)跨子域
上面的jsonp是來(lái)解決ajax跨域請(qǐng)求的省容,那么如果是需要處理 Cookie 和 iframe 該怎么辦呢?這時(shí)候就可以通過(guò)修改document.domain來(lái)跨子域燎字。兩個(gè)網(wǎng)頁(yè)一級(jí)域名相同腥椒,只是二級(jí)域名不同,瀏覽器允許通過(guò)設(shè)置document.domain共享 Cookie或者處理iframe候衍。比如A網(wǎng)頁(yè)是http://w1.example.com/a.html笼蛛,B網(wǎng)頁(yè)是http://w2.example.com/b.html,那么只要設(shè)置相同的document.domain蛉鹿,兩個(gè)網(wǎng)頁(yè)就可以共享Cookie滨砍。
?document.domain = 'example.com';
//現(xiàn)在,A網(wǎng)頁(yè)通過(guò)腳本設(shè)置一個(gè) Cookie妖异。
document.cookie = "test1=hello";
//B網(wǎng)頁(yè)就可以讀到這個(gè) Cookie惋戏。
var allCookie = document.cookie;
注意,這種方法只適用于 Cookie 和 iframe 窗口他膳,LocalStorage 和 IndexDB 無(wú)法通過(guò)這種方法响逢,規(guī)避同源政策,而要使用下文介紹的PostMessage API棕孙。
另外舔亭,服務(wù)器也可以在設(shè)置Cookie的時(shí)候,指定Cookie的所屬域名為一級(jí)域名蟀俊,比如.example.com分歇。
Set-Cookie: key=value; domain=.example.com; path=/
//這樣的話,二級(jí)域名和三級(jí)域名不用做任何設(shè)置欧漱,都可以讀取這個(gè)Cookie职抡。
不同的iframe 之間(父子或同輩),是能夠獲取到彼此的window對(duì)象的误甚,但是你卻不能使用獲取到的window對(duì)象的屬性和方法(html5中的postMessage方法是一個(gè)例外缚甩,還有些瀏覽器比如ie6也可以使用top谱净、parent等少數(shù)幾個(gè)屬性),總之擅威,你可以當(dāng)做是只能獲取到一個(gè)幾乎無(wú)用的window對(duì)象壕探。
首先說(shuō)明一下同域之間的iframe是可以操作的。比如http://127.0.0.1/JSONP/a.html里面嵌入一個(gè)iframe指向http://127.0.0.1/myPHP/b.html郊丛。那么在a.html里面是可以操作iframe里面的DOM的李请。
<iframe src="http://127.0.0.1/myPHP/b.html" frameborder="1"></iframe>
<body>
<script type="text/javascript">
var iframe = document.querySelector("iframe");
iframe.onload = function(){
var win = iframe.contentWindow;
var doc = win.document;
var ele = doc.querySelector(".text1");
var text = ele.innerHTML="123456";
}
</script>
如果兩個(gè)網(wǎng)頁(yè)不同源,就無(wú)法拿到對(duì)方的DOM厉熟。典型的例子是iframe窗口和window.open方法打開(kāi)的窗口导盅,它們與父窗口無(wú)法通信。如果兩個(gè)窗口一級(jí)域名相同揍瑟,只是二級(jí)域名不同白翻,那么document.domain屬性,就可以規(guī)避同源政策绢片,拿到DOM滤馍。
4.使用window.name來(lái)進(jìn)行跨域
window對(duì)象有個(gè)name屬性,該屬性有個(gè)特征:即在一個(gè)窗口(window)的生命周期內(nèi),窗口載入的所有的頁(yè)面都是共享一個(gè)window.name的底循,每個(gè)頁(yè)面對(duì)window.name都有讀寫(xiě)的權(quán)限巢株,window.name是持久存在一個(gè)窗口載入過(guò)的所有頁(yè)面中的,并不會(huì)因新頁(yè)面的載入而進(jìn)行重置熙涤。這個(gè)屬性的最大特點(diǎn)是阁苞,無(wú)論是否同源,只要在同一個(gè)窗口里灭袁,前一個(gè)網(wǎng)頁(yè)設(shè)置了這個(gè)屬性猬错,后一個(gè)網(wǎng)頁(yè)可以讀取它窗看。
比如:有一個(gè)頁(yè)面a.html,它里面有這樣的代碼:
window.name = "我是a頁(yè)面設(shè)置的";
setTimeout(function(){
window.location = "http://127.0.0.1/JSONP/b.html";
},1000)
b.html頁(yè)面的代碼:
?console.log(window.name);
a.html頁(yè)面載入后1秒茸歧,跳轉(zhuǎn)到了b.html頁(yè)面,結(jié)果b頁(yè)面打印出了:
我是a頁(yè)面設(shè)置的
可以看到在b.html頁(yè)面上成功獲取到了它的上一個(gè)頁(yè)面a.html給window.name設(shè)置的值显沈。如果在之后所有載入的頁(yè)面都沒(méi)對(duì)window.name進(jìn)行修改的話软瞎,那么所有這些頁(yè)面獲取到的window.name的值都是a.html頁(yè)面設(shè)置的那個(gè)值。當(dāng)然拉讯,如果有需要涤浇,其中的任何一個(gè)頁(yè)面都可以對(duì)window.name的值進(jìn)行修改。注意魔慷,window.name的值只能是字符串的形式只锭,這個(gè)字符串的大小最大能允許2M左右甚至更大的一個(gè)容量,具體取決于不同的瀏覽器院尔,但一般是夠用了蜻展。
利用window.name可以對(duì)同域或者不同域的之間的js進(jìn)行交互喉誊。
那么在a.html頁(yè)面中,我們?cè)趺窗裝.html頁(yè)面載入進(jìn)來(lái)呢纵顾?顯然我們不能直接在a.html頁(yè)面中通過(guò)改變window.location來(lái)載入b.html頁(yè)面伍茄,因?yàn)槲覀兿胍词筧.html頁(yè)面不跳轉(zhuǎn)也能得到b.html里的數(shù)據(jù)。答案就是在a.html頁(yè)面中使用一個(gè)隱藏的iframe來(lái)充當(dāng)一個(gè)中間人角色施逾,由iframe去獲取b.html的數(shù)據(jù)敷矫,然后a.html再去得到iframe獲取到的數(shù)據(jù)。
5.使用HTML5的window.postMessage方法跨域
上面兩種方法都屬于破解汉额,HTML5為了解決這個(gè)問(wèn)題曹仗,引入了一個(gè)全新的API:跨文檔通信 API(Cross-document messaging)。
這個(gè)API為window對(duì)象新增了一個(gè)window.postMessage方法闷愤,允許跨窗口通信整葡,不論這兩個(gè)窗口是否同源。目前IE8+讥脐、FireFox遭居、Chrome、Opera等瀏覽器都已經(jīng)支持window.postMessage方法旬渠。
舉例來(lái)說(shuō)俱萍,父窗口http://a.com向子窗口http://b.com發(fā)消息,調(diào)用postMessage方法就可以了告丢。
a頁(yè)面:
<iframe id="frame1" src="http://127.0.0.1/JSONP/b.html" frameborder="1"></iframe>
document.getElementById('frame1').onload = function(){
var win = document.getElementById('frame1').contentWindow;
win.postMessage("我是來(lái)自a頁(yè)面的","http://127.0.0.1/JSONP/b.html")
}
b頁(yè)面通過(guò)監(jiān)聽(tīng)message事件可以接受到來(lái)自a頁(yè)面的消息枪蘑。
window.onmessage = function(e){
e = e || event;
console.log(e.data);//我是來(lái)自a頁(yè)面的
}
子窗口向父窗口發(fā)送消息的寫(xiě)法類(lèi)似。
window.opener.postMessage('我是來(lái)自b頁(yè)面的', 'http://a.com');
//父窗口和子窗口都可以通過(guò)message事件岖免,監(jiān)聽(tīng)對(duì)方的消息岳颇。
通過(guò)window.postMessage,讀寫(xiě)其他窗口的 LocalStorage 也成為了可能颅湘。
下面是一個(gè)例子话侧,主窗口寫(xiě)入iframe子窗口的localStorage。
父窗口發(fā)送消息代碼:
var win = document.getElementsByTagName('iframe')[0].contentWindow;
var obj = { name: 'Jack' };
// 存入對(duì)象
win.postMessage(JSON.stringify({key: 'storage', method: 'set', data: obj}), 'http://b.com');
// 讀取對(duì)象
win.postMessage(JSON.stringify({key: 'storage', method: "get"}), "*");
window.onmessage = function(e) {
if (e.origin != 'http://a.com') return;
// "Jack"
console.log(JSON.parse(e.data).name);
};
子窗口接收消息的代碼:
window.onmessage = function(e) {
if (e.origin !== 'http://bbb.com') return;
var payload = JSON.parse(e.data);
switch (payload.method) {
case 'set':
localStorage.setItem(payload.key, JSON.stringify(payload.data));
break;
case 'get':
var parent = window.parent;
var data = localStorage.getItem(payload.key);
parent.postMessage(data, 'http://aaa.com');
break;
case 'remove':
localStorage.removeItem(payload.key);
break;
}
};
6.通過(guò)WebSocket進(jìn)行跨域
web sockets是一種瀏覽器的API闯参,它的目標(biāo)是在一個(gè)單獨(dú)的持久連接上提供全雙工瞻鹏、雙向通信。(同源策略對(duì)web sockets不適用)
web sockets原理:在js創(chuàng)建了web socket之后鹿寨,會(huì)有一個(gè)HTTP請(qǐng)求發(fā)送到瀏覽器以發(fā)起連接新博。取得服務(wù)器響應(yīng)后,建立的連接會(huì)使用HTTP升級(jí)從HTTP協(xié)議交換為web sockt協(xié)議脚草。
只有在支持web socket協(xié)議的服務(wù)器上才能正常工作赫悄。
var socket = new WebSockt('ws://www.baidu.com');//http->ws; https->wss
socket.send('hello WebSockt');
socket.onmessage = function(event){
var data = event.data;
}
7.圖像ping(單向)
什么是圖像ping: 圖像ping是與服務(wù)器進(jìn)行簡(jiǎn)單、單向的跨域通信的一種方式,請(qǐng)求的數(shù)據(jù)是通過(guò)查詢字符串的形式發(fā)送的埂淮,而相應(yīng)可以是任意內(nèi)容嚼贡,但通常是像素圖或204相應(yīng)(No Content)。 圖像ping有兩個(gè)主要缺點(diǎn):首先就是只能發(fā)送get請(qǐng)求同诫,其次就是無(wú)法訪問(wèn)服務(wù)器的響應(yīng)文本粤策。
使用方法:
var img = new Image();
img.onload = img.onerror = function(){
alert("done!");
};
img.src = "https://raw.githubusercontent.com/zhangmengxue/Todo-List/master/me.jpg";
document.body.insertBefore(img,document.body.firstChild);
然后頁(yè)面上就可以顯示我放在我的github上某個(gè)地方的照片啦。
與<img>類(lèi)似的可以跨域內(nèi)嵌資源的還有:
(1)<script src=""></script>標(biāo)簽嵌入跨域腳本误窖。語(yǔ)法錯(cuò)誤信息只能在同源腳本中捕捉到叮盘。上面jsonp也用到了呢。
(2) <link src="">標(biāo)簽嵌入CSS霹俺。由于CSS的松散的語(yǔ)法規(guī)則柔吼,CSS的跨域需要一個(gè)設(shè)置正確的Content-Type消息頭。不同瀏覽器有不同的限制: IE, Firefox, Chrome, Safari (跳至CVE-2010-0051)部分 和 Opera丙唧。
(3)<video> 和 <audio>嵌入多媒體資源愈魏。
(4)<object>, <embed> 和 <applet>的插件。
(5)@font-face引入的字體想际。一些瀏覽器允許跨域字體( cross-origin fonts)培漏,一些需要同源字體(same-origin fonts)。
(6) <frame> 和 <iframe>載入的任何資源胡本。站點(diǎn)可以使用X-Frame-Options消息頭來(lái)阻止這種形式的跨域交互牌柄。
8.使用片段識(shí)別符來(lái)進(jìn)行跨域
片段標(biāo)識(shí)符(fragment identifier)指的是,URL的#號(hào)后面的部分侧甫,比如http://example.com/x.html#flag的#flag珊佣。如果只是改變片段標(biāo)識(shí)符,頁(yè)面不會(huì)重新刷新披粟。
父窗口可以把信息咒锻,寫(xiě)入子窗口的片段標(biāo)識(shí)符。在父窗口寫(xiě)入:
document.getElementById('frame').onload = function(){
var src = "http://127.0.0.1/JSONP/b.html" + '#' + "data";
this.src = src;
}
子窗口通過(guò)監(jiān)聽(tīng)hashchange事件得到通知守屉。
window.onload = function(){
console.log("b.html加載完成")
window.onhashchange = function(){
var message = window.location.hash;
console.log(message)//#data
};
}
同樣的惑艇,子窗口也可以改變父窗口的片段標(biāo)識(shí)符。
parent.location.href= target + "#" + hash;
[原文鏈接]:(https://blog.csdn.net/lareinalove/java/article/details/84107476)