JS跨域知識整理

tuoxieyz發表於2014-08-25
JS跨域

在“跨域”一詞經常性地出現以前,我們其實已經頻繁地使用它了。如在A網站的img,src指向B網站的某一圖片地址,毫無疑問,這在通常情況下都是能正常顯示的(且不論防盜鏈技術);同樣,可以使script標籤的src屬性指向其它網站的指令碼資源(在某些情況下甚至鼓勵這樣做,以便充分利用其它網站的負載優勢,減小自身伺服器的併發量)。然而,如若使用js去主動請求其它網站的資料,比如ajax方式,就會遇到讓人鬱悶的跨域問題,這也是我們平常所說的跨域。由於安全原因,跨域訪問是被各大瀏覽器所預設禁止的。這裡涉及到同源策略的概念:同源策略阻止從一個域上載入的指令碼獲取或操作另一個域上的文件屬性。也就是說,受到請求的 URL 的域必須與當前 Web 頁面的域相同。這意味著瀏覽器隔離來自不同源的內容,以防止它們之間的操作。

跨域帶來的具體安全問題博主沒有深究,大夥可以自行腦補。

然而,很多情況下,特別是在網際網路持續發展的今天,我們需要請求來自不同合作伙伴或資料提供商的前端介面,在跨域訪問的方式沒有規範化前(client端跨域訪問的需求看來也引起w3c的注意了,看資料說html5 WebSocket標準支援跨域的資料交換,應該也是一個將來可選的跨域資料交換的解決方案),有什麼方法能繞過它的限制呢?答案有很多(雖然都很麻煩),最常用的當屬所謂的JSONP跨域了。

JSONP原理

JSONP的最基本的原理是:動態新增一個<script>標籤,而script標籤的src屬性是沒有跨域的限制的。這樣說來,這種跨域方式其實與ajax XmlHttpRequest協議無關了。

JSONP即JSON with Padding。由於同源策略的限制,XmlHttpRequest只允許請求當前源(域名、協議、埠)的資源。如果要進行跨域請求, 我們可以通過使用html的script標記來進行跨域請求,並在響應中返回要執行的script程式碼。 這種跨域的通訊方式稱為JSONP。

來個簡單的例子:

 1 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
 2 <html xmlns="http://www.w3.org/1999/xhtml" >  
 3 <head>  
 4     <title>Test Jsonp</title>  
 5     <script type="text/javascript">  
 6             function jsonpCallback(result)  
 7             {  
 8             alert(result.msg);  
 9             }  
10         </script>  
11     <script type="text/javascript" src="http://crossdomain.com/jsonServerResponse?jsonp=jsonpCallback"></script>  
12 </head>  
13 <body>  
14 </body>  
15 </html>

簡述原理與過程:首先在客戶端註冊一個callback, 然後把callback的名字傳給伺服器(這裡客戶端和伺服器約定以key為jsonp的查詢字串值傳遞)。此時,伺服器先生成 json 資料。 然後以 javascript 語法的方式,生成一個function , function 名字就是傳遞上來的引數 jsonp。最後將 json 資料直接以入參的方式,放置到 function 中,這樣就生成了一段 js 語法的文件,返回給客戶端。客戶端瀏覽器,解析script標籤,並執行返回的 javascript 文件,即執行了預定義的callback函式。

從上述簡述可以推出:除了返回函式形式的js程式碼片段,服務端自然能返回所有符合規範的可執行js片段。

JSONP的缺點是:它只支援GET請求而不支援POST等其它型別的HTTP請求;它只支援跨域HTTP請求這種情況,不能解決不同域的兩個頁面之間如何進行JavaScript呼叫的問題。(下面還有)

jQuery的Jsonp

如前所述,jsonp並非ajax請求,但是jQuery仍提供與jQuery.ajax一致的方式進行跨域請求:

$.ajax({
    url: `http://crossdomain.com/jsonServerResponse`,
    type: `GET`,
    dataType: `jsonp`,
    jsonp: "callback",
    jsonpCallback: `functionName`,
    success: function (data, textStatus, jqXHR) { }
    //……
});

如上所示,dataType設為jsonp表示這是一次跨域請求,jsonp設為服務端預定的傳遞函式名稱的查詢字串key,而jsonpCallback即為js函式名稱;假如jsonpCallback不設定,那麼jQuery將自動生成的隨機函式名(在window物件中載入一個全域性的函式,當程式碼插入時函式執行,執行完畢後就會被移除),可推斷該自動生成的函式會回撥上述程式碼中的success函式。(當手動為jsonpCallback賦值時,不知道success函式會否回撥,還是說jQuery會尋找預定義的函式,若找不到則報錯?博主懶,以後再試吧。)當然jQuery為我們提供了一個簡易版本,$.getJSON,這裡就不贅述了。

需要注意的是success函式中的jqXHR引數,在ajax請求中,它是正宗的jqXHR物件,亦可看作是XMLHTTPRequest物件(繼承or封裝),但是在jsonp請求中卻並非如此,幾乎不能帶給我們如XMLHTTPRequest中最有用的那些資訊:它缺少XMLHTTPRequest的請求狀態資訊,所以並不能觸發絕大部分的回撥函式,比如error、complete等(jQuery1.9.0),而可以被回撥的success函式推測應該是由script標記的load事件觸發,這也同ajax依靠XMLHTTPRequest的狀態的機制完全不同。經試驗,脫胎於jQuery的zepto(v1.1.3),在jsonp請求出現錯誤,比如載入js文件時頭部返回401錯誤時,error函式會執行,但是該函式的jqXHR引數也同樣不是正宗的jqXHR型別,甚至不能通過它獲取響應的頭部資訊,在這種情況下,我們只是被告知某個環節出錯了,卻並不知道具體的錯誤資訊。類似響應頭承載有用資訊的場景,博主不建議使用jsonp,可以說,使用jsonp的一個前提是:除了網路異常等非業務異常外,所有業務異常(概括地說,乃是從伺服器接收請求到返回響應這段時間內丟擲的所有異常)都需要以請求結果的形式直接返回給客戶端,便於客戶端回撥分析。

 

參考資料:

JSONP跨域的原理解析

jQuery.ajax()

 

轉載請註明本文出處:http://www.cnblogs.com/newton/p/3930474.html


相關文章