跨域資源共享的各種方式(持續更新)
同源策略
在客戶端程式語言中,如JavaScript和ActionScript,同源策略是一個很重要的安全理念,它在保證資料的安全性方面有著重要的意義。同源策略規定跨域之間的指令碼是隔離的,一個域的指令碼不能訪問和操作另外一個域的絕大部分屬性和方法。那麼什麼叫相同域,什麼叫不同的域呢?當兩個域具有相同的協議(如http), 相同的埠(如80),相同的host(如www.example.org),那麼我們就可以認為它們是相同的域。比如http://www.example.org/index.html和http://www.example.org/sub/index.html是同域,而http://www.example.org, https://www.example.org, http://www.example.org:8080, http://sub.example.org中的任何兩個都將構成跨域。同源策略還應該對一些特殊情況做處理,比如限制file協議下指令碼的訪問許可權。本地的HTML檔案在瀏覽器中是通過file協議開啟的,如果指令碼能通過file協議訪問到硬碟上其它任意檔案,就會出現安全隱患,目前IE8還有這樣的隱患。
受到同源策略的影響,跨域資源共享就會受到制約。但是隨著人們的實踐和瀏覽器的進步,目前在跨域請求的技巧上,有很多寶貴經驗的沉澱和積累。這裡我把跨域資源共享分成兩種,一種是單向的資料請求,還有一種是雙向的訊息通訊。接下來我將羅列出常見的一些跨域方式,以下跨域例項的原始碼可以從這裡獲得。
單向跨域
JSONP
JSONP (JSON with Padding)是一個簡單高效的跨域方式,HTML中的script標籤可以載入並執行其他域的JavaScript,於是我們可以通過script標記來動態載入其他域的資源。例如我要從域A的頁面pageA載入域B的資料,那麼在域B的頁面pageB中我以JavaScript的形式宣告pageA需要的資料,然後在pageA中用script標籤把pageB載入進來,那麼pageB中的指令碼就會得以執行。JSONP在此基礎上加入了回撥函式,pageB載入完之後會執行pageA中定義的函式,所需要的資料會以引數的形式傳遞給該函式。JSONP易於實現,但是也會存在一些安全隱患,如果第三方的指令碼隨意地執行,那麼它就可以篡改頁面內容,截獲敏感資料。但是在受信任的雙方傳遞資料,JSONP是非常合適的選擇。
Flash URLLoader
Flash有自己的一套安全策略,伺服器可以通過crossdomain.xml檔案來宣告能被哪些域的SWF檔案訪問,SWF也可以通過API來確定自身能被哪些域的SWF載入。當跨域訪問資源時,例如從域www.a.com請求域www.b.com上的資料,我們可以藉助Flash來傳送HTTP請求。首先,修改域www.b.com上的crossdomain.xml(一般存放在根目錄,如果沒有需要手動建立) ,把www.a.com加入到白名單。其次,通過Flash URLLoader傳送HTTP請求,最後,通過Flash API把響應結果傳遞給JavaScript。Flash URLLoader是一種很普遍的跨域解決方案,不過需要支援iOS的話,這個方案就無能為力了。
Access Control
Access Control是比較超越的跨域方式,目前只在很少的瀏覽器中得以支援,這些瀏覽器可以傳送一個跨域的HTTP請求(Firefox, Google Chrome等通過XMLHTTPRequest實現,IE8下通過XDomainRequest實現),請求的響應必須包含一個Access-Control-Allow-Origin的HTTP響應頭,該響應頭宣告瞭請求域的可訪問許可權。例如www.a.com對www.b.com下的asset.php傳送了一個跨域的HTTP請求,那麼asset.php必須加入如下的響應頭:
window.name
window物件的name屬性是一個很特別的屬性,當該window的location變化,然後重新載入,它的name屬性可以依然保持不變。那麼我們可以在頁面A中用iframe載入其他域的頁面B,而頁面B中用JavaScript把需要傳遞的資料賦值給window.name,iframe載入完成之後,頁面A修改iframe的地址,將其變成同域的一個地址,然後就可以讀出window.name的值了。這個方式非常適合單向的資料請求,而且協議簡單、安全。不會像JSONP那樣不做限制地執行外部指令碼。
server proxy
在資料提供方沒有提供對JSONP協議或者window.name協議的支援,也沒有對其它域開放訪問許可權時,我們可以通過server proxy的方式來抓取資料。例如當www.a.com域下的頁面需要請求www.b.com下的資原始檔asset.txt時,直接傳送一個指向www.b.com/asset.txt的ajax請求肯定是會被瀏覽器阻止。這時,我們在www.a.com下配一個代理,然後把ajax請求繫結到這個代理路徑下,例如www.a.com/proxy/, 然後這個代理髮送HTTP請求訪問www.b.com下的asset.txt,跨域的HTTP請求是在伺服器端進行的,客戶端並沒有產生跨域的ajax請求。這個跨域方式不需要和目標資源簽訂協議,帶有侵略性,另外需要注意的是實踐中應該對這個代理實施一定程度的保護,比如限制他人使用或者使用頻率。
雙向跨域
document.domain
通過修改document的domain屬性,我們可以在域和子域或者不同的子域之間通訊。同域策略認為域和子域隸屬於不同的域,比如www.a.com和sub.a.com是不同的域,這時,我們無法在www.a.com下的頁面中呼叫sub.a.com中定義的JavaScript方法。但是當我們把它們document的domain屬性都修改為a.com,瀏覽器就會認為它們處於同一個域下,那麼我們就可以互相呼叫對方的method來通訊了。
FIM – Fragment Identitier Messaging
不同的域之間,JavaScript只能做很有限的訪問和操作,其實我們利用這些有限的訪問許可權就可以達到跨域通訊的目的了。FIM (Fragment Identitier Messaging)就是在這個大前提下被發明的。父視窗可以對iframe進行URL讀寫,iframe也可以讀寫父視窗的URL,URL有一部分被稱為frag,就是#號及其後面的字元,它一般用於瀏覽器錨點定位,Server端並不關心這部分,應該說HTTP請求過程中不會攜帶frag,所以這部分的修改不會產生HTTP請求,但是會產生瀏覽器歷史記錄。FIM的原理就是改變URL的frag部分來進行雙向通訊。每個window通過改變其他window的location來傳送訊息,並通過監聽自己的URL的變化來接收訊息。這個方式的通訊會造成一些不必要的瀏覽器歷史記錄,而且有些瀏覽器不支援onhashchange事件,需要輪詢來獲知URL的改變,最後,URL在瀏覽器下有長度限制,這個制約了每次傳送的資料量。
Flash LocalConnection
頁面上的雙向通訊也可以通過Flash來解決,Flash API中有LocalConnection這個類,該類允許兩個SWF之間通過程式通訊,這時SWF可以播放在獨立的Flash Player或者AIR中,也可以嵌在HTML頁面或者是PDF中。遵循這個通訊原則,我們可以在不同域的HTML頁面各自巢狀一個SWF來達到相互傳遞資料的目的了。SWF通過LocalConnection交換資料是很快的,但是每次的資料量有40kb的大小限制。用這種方式來跨域通訊過於複雜,而且需要了2個SWF檔案,實用性不強。
window.postMessage
window.postMessage是HTML5定義的一個很新的方法,這個方法可以很方便地跨window通訊。由於它是一個很新的方法,所以在很舊和比較舊的瀏覽器中都無法使用。
Cross Frame
Cross Frame是FIM的一個變種,它藉助了一個空白的iframe,不會產生多餘的瀏覽器歷史記錄,也不需要輪詢URL的改變,在可用性和效能上都做了很大的改觀。它的基本原理大致是這樣的,假設在域www.a.com上有頁面A.html和一個空白代理頁面proxyA.html, 另一個域www.b.com上有個頁面B.html和一個空白代理頁面proxyB.html,A.html需要向B.html中傳送訊息時,頁面會建立一個隱藏的iframe, iframe的src指向proxyB.html並把message作為URL frag,由於B.html和proxyB.html是同域,所以在iframe載入完成之後,B.html可以獲得iframe的URL,然後解析出message,並移除該iframe。當B.html需要向A.html傳送訊息時,原理一樣。Cross Frame是很好的雙向通訊方式,而且安全高效,但是它在Opera中無法使用,不過在Opera下面我們可以使用更簡單的window.postMessage來代替。
總結
跨域的方法很多,不同的應用場景我們都可以找到一個最合適的解決方案。比如單向的資料請求,我們應該優先選擇JSONP或者window.name,雙向通訊我們採取Cross Frame,在未與資料提供方沒有達成通訊協議的情況下我們也可以用server proxy的方式來抓取資料。
謀膽並重
相關文章
- 跨域資源共享跨域
- 跨域資源共享CORS跨域CORS
- 跨域資源共享——CORS跨域CORS
- js跨域資源共享JS跨域
- 跨域資源共享(CORS)跨域CORS
- 前端中的同源策略與三種跨域資源共享方法前端跨域
- 詳解XMLHttpRequest的跨域資源共享XMLHTTP跨域
- Flutter資源收集(持續更新)Flutter
- 跨域資源共享配置錯誤跨域
- CORS(跨域資源共享)筆記CORS跨域筆記
- 深入跨域問題(1) - 初識 CORS 跨域資源共享跨域CORS
- 跨域資源共享(CORS)是什麼?跨域CORS
- 走過路過來看看各種實現跨域的方式~跨域
- Bootstrap 前端資源大全集(持續更新)boot前端
- 跨域請求cookie資源共享詳解跨域Cookie
- 安全系列之:跨域資源共享CORS跨域CORS
- 你所不知道的跨域資源共享(CORS)跨域CORS
- Spring Boot中的跨域資源共享(CORS)處理Spring Boot跨域CORS
- 前端學習資源彙總(持續更新)前端
- 跨域資源共享 CORS(Cross-origin resource sharing)跨域CORSROS
- 九種方式實現跨域跨域
- 跨域資源共享 CORS 一些知識點跨域CORS
- 技術資源下載(持續補充更新)
- (持續更新)Qt3D 學習資源QT3D
- 多種跨域方式實現原理跨域
- 九種跨域方式實現原理跨域
- 個人前端資源彙集(吐血整理 / 持續更新)前端
- PHP學習路線資源總結[持續更新]PHP
- 團隊效率-基建開源(持續更新)
- zuul實現Cors跨域的兩種方式(https)ZuulCORS跨域HTTP
- 【SpringMVC】解決跨域問題的兩種方式SpringMVC跨域
- 機器學習完整資源推薦(持續更新中)機器學習
- Android 常用開源庫總結(持續更新)Android
- JVM(持續更新。。。)JVM
- FastApi持續更新ASTAPI
- 跨域共享CORS詳解及Gin配置跨域跨域CORS
- 後端常用開源元件合集(持續更新中)後端元件
- 九種跨域方式實現原理(完整版)跨域