一、什麼是跨域?
1.定義:跨域是指從一個域名的網頁去請求另一個域名的資源。比如從www.baidu.com 頁面去請求 www.google.com 的資源。但是一般情況下不能這麼做,它是由瀏覽器的同源策略造成的,是瀏覽器對JavaScript施加的安全限制。跨域的嚴格一點的定義是:只要 協議,域名,埠有任何一個的不同,就被當作是跨域
所謂同源是指,域名,協議,埠均相同。這裡說的js跨域是指通過js在不同的域之間進行資料傳輸或通訊,比如用ajax向一個不同的域請求資料,或者通過js獲取頁面中不同域的框架中(iframe)的資料。
概念:只要協議、域名、埠有任何一個不同,都被當作是不同的域。
http://www.123.com/index.html 呼叫 http://www.123.com/server.PHP (非跨域)
http://www.123.com/index.html 呼叫 http://www.456.com/server.php (主域名不同:123/456,跨域)
http://abc.123.com/index.html 呼叫 http://def.123.com/server.php (子域名不同:abc/def,跨域)
http://www.123.com:8080/index.html 呼叫 http://www.123.com:8081/server.php (埠不同:8080/8081,跨域)
http://www.123.com/index.html 呼叫 https://www.123.com/server.php (協議不同:http/https,跨域)
請注意:localhost和127.0.0.1雖然都指向本機,但也屬於跨域。
瀏覽器執行javascript指令碼時,會檢查這個指令碼屬於哪個頁面,如果不是同源頁面,就不會被執行。
對於埠和協議的不同,只能通過後臺來解決。
二、為什麼瀏覽器要限制跨域訪問呢?
原因就是安全問題:如果一個網頁可以隨意地訪問另外一個網站的資源,那麼就有可能在客戶完全不知情的情況下出現安全問題。比如下面的操作就有安全問題:
- 使用者訪問www.mybank.com ,登陸並進行網銀操作,這時cookie啥的都生成並存放在瀏覽器
- 使用者突然想起件事,並迷迷糊糊地訪問了一個邪惡的網站 www.xiee.com
- 這時該網站就可以在它的頁面中,拿到銀行的cookie,比如使用者名稱,登陸token等,然後發起對www.mybank.com 的操作。
- 如果這時瀏覽器不予限制,並且銀行也沒有做響應的安全處理的話,那麼使用者的資訊有可能就這麼洩露了。
三、為什麼要跨域?
既然有安全問題,那為什麼又要跨域呢? 有時公司內部有多個不同的子域,比如一個是location.company.com ,而應用是放在app.company.com , 這時想從 app.company.com去訪問 location.company.com 的資源就屬於跨域。
四、解決跨域問題的方法
(1)跨域資源共享(CORS)
CORS(Cross-Origin Resource Sharing
)跨域資源共享,定義了必須在訪問跨域資源時,瀏覽器與伺服器應該如何溝通。CORS
背後的基本思想就是使用自定義的HTTP頭部讓瀏覽器與伺服器進行溝通,從而決定請求或響應是應該成功還是失敗。
伺服器端對於CORS
的支援,主要就是通過設定Access-Control-Allow-Origin
來進行的。如果瀏覽器檢測到相應的設定,就可以允許Ajax進行跨域的訪問。
只需要在後臺中加上響應頭來允許域請求!在被請求的Response header中加入以下設定,就可以實現跨域訪問了!
//指定允許其他域名訪問
'Access-Control-Allow-Origin:*'//或指定域
//響應型別
'Access-Control-Allow-Methods:GET,POST'
//響應頭設定
'Access-Control-Allow-Headers:x-requested-with,content-type'複製程式碼
(2)通過jsonp跨域
JSONP是JSON with Padding(填充式json)的簡寫,是應用JSON的一種新方法,只不過是被包含在函式呼叫中的JSON,例如:
callback({"name","trigkit4"});複製程式碼
JSONP由兩部分組成:回撥函式和資料。回撥函式是當響應到來時應該在頁面中呼叫的函式,而資料就是傳入回撥函式中的JSON資料。
JSONP的原理:通過script標籤引入一個js檔案,這個js檔案載入成功後會執行我們在url引數中指定的函式,並且會把我們需要的json資料作為引數傳入。所以jsonp是需要伺服器端的頁面進行相應的配合的。(即用javascript動態載入一個script檔案,同時定義一個callback函式給script執行而已。)
在js中,我們直接用XMLHttpRequest
請求不同域上的資料時,是不可以的。但是,在頁面上引入不同域上的js指令碼檔案卻是可以的,jsonp正是利用這個特性來實現的。 例如:
有個a.html頁面,它裡面的程式碼需要利用ajax獲取一個不同域上的json資料,假設這個json資料地址是example.com/data.php,那麼a.html中的程式碼就可以這樣:
<script type="text/javascript">
function dosomething(jsondata){
//處理獲得的json資料
}
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>複製程式碼
js檔案載入成功後會執行我們在url引數中指定的函式,並且會把我們需要的json資料作為引數傳入。所以jsonp是需要伺服器端的頁面進行相應的配合的。
<?php
$callback = $_GET['callback'];//得到回撥函式名
$data = array('a','b','c');//要返回的資料
echo $callback.'('.json_encode($data).')';//輸出
?>複製程式碼
最終,輸出結果為:dosomething(['a','b','c']);
如果你的頁面使用jquery,那麼通過它封裝的方法就能很方便的來進行jsonp操作了。
<script type="text/javascript">
$.getJSON('http://example.com/data.php?callback=?,function(jsondata)'){
//處理獲得的json資料
});
</script>複製程式碼
jquery
會自動生成一個全域性函式來替換callback=?
中的問號,之後獲取到資料後又會自動銷燬,實際上就是起一個臨時代理函式的作用。$.getJSON
方法會自動判斷是否跨域,不跨域的話,就呼叫普通的ajax
方法;跨域的話,則會以非同步載入js檔案的形式來呼叫jsonp
的回撥函式。
JSONP的優缺點
JSONP的優點是:它不像XMLHttpRequest
物件實現的Ajax請求那樣受到同源策略的限制;它的相容性更好,在更加古老的瀏覽器中都可以執行,不需要XMLHttpRequest或ActiveX的支援;並且在請求完畢後可以通過呼叫callback的方式回傳結果。
JSONP的缺點則是:它只支援GET請求而不支援POST等其它型別的HTTP請求;它只支援跨域HTTP請求這種情況,不能解決不同域的兩個頁面之間如何進行JavaScript
呼叫的問題。
CORS和JSONP對比
CORS與JSONP相比,無疑更為先進、方便和可靠。
1、 JSONP只能實現GET請求,而CORS支援所有型別的HTTP請求。
2、 使用CORS,開發者可以使用普通的XMLHttpRequest發起請求和獲得資料,比起JSONP有更好的錯誤處理。
3、 JSONP主要被老的瀏覽器支援,它們往往不支援CORS,而絕大多數現代瀏覽器都已經支援了CORS)。複製程式碼
(3)通過修改document.domain來跨子域
瀏覽器都有一個同源策略,其限制之一就是第一種方法中我們說的不能通過ajax的方法去請求不同源中的文件。 它的第二個限制是瀏覽器中不同域的框架之間是不能進行js的互動操作的。
不同的框架之間是可以獲取window物件的,但卻無法獲取相應的屬性和方法。比如,有一個頁面,它的地址是http://www.example.com/a.html
, 在這個頁面裡面有一個iframe
,它的src是http://example.com/b.html
, 很顯然,這個頁面與它裡面的iframe
框架是不同域的,所以我們是無法通過在頁面中書寫js程式碼來獲取iframe
中的東西的:
<script type="text/javascript">
function test(){
var iframe = document.getElementById('ifame');
var win = document.contentWindow;//可以獲取到iframe裡的window物件,但該window物件的屬性和方法幾乎是不可用的
var doc = win.document;//這裡獲取不到iframe裡的document物件
var name = win.name;//這裡同樣獲取不到window物件的name屬性
}
</script>
<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>複製程式碼
這個時候,document.domain
就可以派上用場了,我們只要把http://www.example.com/a.html
和 http://example.com/b.html
這兩個頁面的document.domain都設成相同的域名就可以了。但要注意的是,document.domain的設定是有限制的,我們只能把document.domain設定成自身或更高一級的父域,且主域必須相同。例如:a.b.example.com 中某個文件的document.domain 可以設成a.b.example.com、b.example.com 、example.com中的任意一個,但是不可以設成 c.a.b.example.com,因為這是當前域的子域,也不可以設成baidu.com,因為主域已經不相同了。
1.在頁面 http://www.example.com/a.html
中設定document.domain
:
<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>
<script type="text/javascript">
document.domain = 'example.com';//設定成主域
function test(){
alert(document.getElementById('iframe').contentWindow);//contentWindow 可取得子視窗的 window 物件
}
</script>複製程式碼
2.在頁面 http://example.com/b.html
中也設定document.domain
:
<script type="text/javascript">
document.domain = 'example.com';//在iframe載入這個頁面也設定document.domain,使之與主頁面的document.domain相同
</script>複製程式碼
修改document.domain
的方法只適用於不同子域的框架間的互動。
(4)使用window.name來進行跨域
window物件有個name屬性,該屬性有個特徵:即在一個視窗(window)的生命週期內,視窗載入的所有的頁面都是共享一個window.name的,每個頁面對window.name都有讀寫的許可權,window.name是持久存在一個視窗載入過的所有頁面中的,並不會因新頁面的載入而進行重置。
比如:有一個頁面a.html,它裡面有這樣的程式碼:
再看看b.html頁面的程式碼:
a.html頁面載入後3秒,跳轉到了b.html頁面,結果為:
我們看到在b.html頁面上成功獲取到了它的上一個頁面a.html給window.name設定的值。如果在之後所有載入的頁面都沒對window.name進行修改的話,那麼所有這些頁面獲取到的window.name的值都是a.html頁面設定的那個值。當然,如果有需要,其中的任何一個頁面都可以對window.name的值進行修改。注意,window.name的值只能是字串的形式,這個字串的大小最大能允許2M左右甚至更大的一個容量,具體取決於不同的瀏覽器,但一般是夠用了。
上面的例子中,我們用到的頁面a.html和b.html是處於同一個域的,但是即使a.html與b.html處於不同的域中,上述結論同樣是適用的,這也正是利用window.name進行跨域的原理。
下面就來看一看具體是怎麼樣通過window.name來跨域獲取資料的。還是舉例說明。
比如有一個www.example.com/a.html頁面,需要通過a.html頁面裡的js來獲取另一個位於不同域上的頁面www.cnblogs.com/data.html裡的資料。
data.html頁面裡的程式碼很簡單,就是給當前的window.name設定一個a.html頁面想要得到的資料值。data.html裡的程式碼:
那麼在a.html頁面中,我們怎麼把data.html頁面載入進來呢?顯然我們不能直接在a.html頁面中通過改變window.location來載入data.html頁面,因為我們想要即使a.html頁面不跳轉也能得到data.html裡的資料。答案就是在a.html頁面中使用一個隱藏的iframe來充當一箇中間人角色,由iframe去獲取data.html的資料,然後a.html再去得到iframe獲取到的資料。
充當中間人的iframe想要獲取到data.html的通過window.name設定的資料,只需要把這個iframe的src設為www.cnblogs.com/data.html就行了。然後a.html想要得到iframe所獲取到的資料,也就是想要得到iframe的window.name的值,還必須把這個iframe的src設成跟a.html頁面同一個域才行,不然根據前面講的同源策略,a.html是不能訪問到iframe裡的window.name屬性的。這就是整個跨域過程。
看下a.html頁面的程式碼:
上面的程式碼只是最簡單的原理演示程式碼,你可以對使用js封裝上面的過程,比如動態的建立iframe,動態的註冊各種事件等等,當然為了安全,獲取完資料後,還可以銷燬作為代理的iframe。網上也有很多類似的現成程式碼,有興趣的可以去找一下。通過window.name來進行跨域,就是這樣子的。
(5)使用HTML5的window.postMessage方法跨域
window.postMessage(message,targetOrigin) 方法是html5新引進的特性,可以使用它來向其它的window物件傳送訊息,無論這個window物件是屬於同源或不同源,目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經支援window.postMessage方法。
呼叫postMessage方法的window物件是指要接收訊息的那一個window物件,該方法的第一個引數message為要傳送的訊息,型別只能為字串;第二個引數targetOrigin用來限定接收訊息的那個window物件所在的域,如果不想限定域,可以使用萬用字元 * 。
需要接收訊息的window物件,可是通過監聽自身的message事件來獲取傳過來的訊息,訊息內容儲存在該事件物件的data屬性中。
上面所說的向其他window物件傳送訊息,其實就是指一個頁面有幾個框架的那種情況,因為每一個框架都有一個window物件。在討論第二種方法的時候,我們說過,不同域的框架間是可以獲取到對方的window物件的,而且也可以使用window.postMessage這個方法。下面看一個簡單的示例,有兩個頁面
我們執行a頁面後得到的結果:
我們看到b頁面成功的收到了訊息。
使用postMessage來跨域傳送資料還是比較直觀和方便的,但是缺點是IE6、IE7不支援,所以用不用還得根據實際需要來決定。
(6)web sockets
web sockets是一種瀏覽器的API,它的目標是在一個單獨的持久連線上提供全雙工、雙向通訊。(同源策略對web sockets不適用)
web sockets原理:在js建立了web socket之後,會有一個HTTP請求傳送到瀏覽器以發起連線。取得伺服器響應後,建立的連線會使用HTTP升級從HTTP協議交換為web sockt協議。
只有在支援web socket協議的伺服器上才能正常工作。
var socket = new WebSockt('ws://www.baidu.com');//http->ws; https->wss
socket.send('hello WebSockt');
socket.onmessage = function(event){
var data = event.data;
}複製程式碼
(7)影象ping(單向)
1、什麼是影象ping:
影象ping是與伺服器進行簡單、單向的跨域通訊的一種方式,請求的資料是通過查詢字串的形式傳送的,而相應可以是任意內容,但通常是畫素圖或204相應(No Content)。 影象ping有兩個主要缺點:首先就是隻能傳送get請求,其次就是無法訪問伺服器的響應文字。
2、使用方法:
var img = new Image();
img.onload = img.onerror = function(){
alert("done!");
};
img.src = "https://raw.githubusercontent.com/zhangmengxue/Todo-List/master/me.jpg";
document.body.insertBefore(img,document.body.firstChild);複製程式碼
然後頁面上就可以顯示我放在我的github上某個地方的照片啦。
與<img>類似的可以跨域內嵌資源的還有:
(1)<script src=""></script>標籤嵌入跨域指令碼。語法錯誤資訊只能在同源指令碼中捕捉到。上面jsonp也用到了呢。
(2) <link src="">標籤嵌入CSS。由於CSS的鬆散的語法規則,CSS的跨域需要一個設定正確的Content-Type訊息頭。不同瀏覽器有不同的限制: IE, Firefox, Chrome, Safari (跳至CVE-2010-0051)部分 和 Opera。
(3)<video> 和 <audio>嵌入多媒體資源。
(4)<object>, <embed> 和 <applet>的外掛。
(5)@font-face引入的字型。一些瀏覽器允許跨域字型( cross-origin fonts),一些需要同源字型(same-origin fonts)。
(6) <frame> 和 <iframe>載入的任何資源。站點可以使用X-Frame-Options訊息頭來阻止這種形式的跨域互動。
注:此文章為轉載(原文連結)