跨域实现原理

来源：互联网发布：好人卡知乎编辑：程序博客网时间：2024/06/07 00:50

跨域

受浏览器同源策略的限制，本域的js不能操作其他域的页面对象（比如DOM）。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。所以我们要通过一些方法使本域的js能够操作其他域的页面对象或者使其他域的js能操作本域的页面对象（iframe之间）。

这里需要明确的一点是：所谓的域跟js的存放服务器没有关系，比如baidu.com的页面加载了google.com的js，那么此js的所在域是baidu.com而不是google.com。也就是说，此时该js能操作baidu.com的页面对象，而不能操作google.com的页面对象。

一、JSONP

知乎：https://www.zhihu.com/question/19966531

JSONP是一种非正式传输协议，该协议的一个要点就是允许用户传递一个callback参数给服务端，然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据，这样客户端就可以随意定制自己的函数来自动处理返回数据

JSONP本身就是一个get请求，而script节点本身也是一个get请求，这个思想是通过后端的配合（后端输出的 response text必须符合js语法）更好的利用了get请求而已。而前端封装一个方法，通过这个方法把请求注册的回调指向全局的一个具名函数，同时把具名函数的函数名和参数通过get请求传递给后端而已。

JSON 和JSONP：http://www.cnblogs.com/dowinning/archive/2012/04/19/json-jsonp-jquery.html

1、一个众所周知的问题，Ajax直接请求普通文件存在跨域无权限访问的问题，甭管你是静态页面、动态网页、web服务、WCF，只要是跨域请求，一律不准；
2、不过我们又发现，Web页面上调用js文件时则不受是否跨域的影响（不仅如此，我们还发现凡是拥有”src”这个属性的标签都拥有跨域的能力，比如<script>、<img>、<iframe>）；
3、于是可以判断，当前阶段如果想通过纯web端（ActiveX控件、服务端代理、属于未来的HTML5之Websocket等方式不算）跨域访问数据就只有一种可能，那就是在远程服务器上设法把数据装进js格式的文件里，供客户端调用和进一步处理；
4、恰巧我们已经知道有一种叫做JSON的纯字符数据格式可以简洁的描述复杂数据，更妙的是JSON还被js原生支持，所以在客户端几乎可以随心所欲的处理这种格式的数据；
5、这样子解决方案就呼之欲出了，web客户端通过与调用脚本一模一样的方式，来调用跨域服务器上动态生成的js格式文件（一般以JSON为后缀），显而易见，服务器之所以要动态生成JSON文件，目的就在于把客户端需要的数据装入进去。
6、客户端在对JSON文件调用成功之后，也就获得了自己所需的数据，剩下的就是按照自己需求进行处理和展现了，这种获取远程数据的方式看起来非常像AJAX，但其实并不一样。
7、为了便于客户端使用数据，逐渐形成了一种非正式传输协议，人们把它称作JSONP，该协议的一个要点就是允许用户传递一个callback参数给服务端，然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据，这样客户端就可以随意定制自己的函数来自动处理返回数据

JSONP：

$.ajax({         type: "get",         async: false,         url: "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998",         dataType: "jsonp",         jsonp: "callback",//传递给请求处理程序或页面的，用以获得jsonp回调函数名的参数名(一般默认为:callback)         jsonpCallback:"flightHandler",//自定义的jsonp回调函数名称，默认为jQuery自动生成的随机函数名，也可以写"?"，jQuery会自动为你处理数据         success: function(json){             alert('您查询到航班信息：票价： ' + json.price + ' 元，余票： ' + json.tickets + ' 张。');         },         error: function(){             alert('fail');         }     });

二、跨域方式

5种基本方式：http://blog.csdn.net/xiaobianjava/article/details/53489576

同域（同源）：如果两个页面拥有相同的协议（protocol），端口（如果指定），和主机，那么这两个页面就属于同一个源（origin）

1.jsonp

function jsonp_cb(data) {    console.log(data);}function ajax(){    var url = "http://xx.com/test.PHP?jsonp_callback=jsonp_cb";    var script = document.createElement('script');    // 发送请求    script.src = url;    document.head.appendChild(script);}ajax()服务端获取到jsonp_callback传递的函数名jsonp_cb，返回一段对该函数调用的js代码jsonp_cb({   "name": "story"});

2.img标签也是没有跨域限制的，但它只能用来发送GET请求，且无法获取服务端的响应文本，可以利用它实现一些简单的、单向的跨域通信，例如跟踪用户的点击

var img = new Image();img.onload = function(){    console.log('done')    img.onload = null;    img = null;}img.src = "http://xx/xx.gif"

3.window.name

window对象拥有name属性，它有一个特点：相同协议下，在一个页面中，不随URL的改变而改变 示例代码window.name = 'string' // 字符串，一般允许的最大值为2Mconsole.log(window.name)location = 'http://funteas.com/'此时，在控制台输入window.name，结果依然是”string”window.name // "string"window.name的值只能是字符串，任何其他类型的值都会“转化”为字符串 例如window.name = function(){}console.log(window.name)// "function(){}"通过window.name实现跨域也很简单，iframe拥有contentWindow属性，其指向该iframe的window对象的引用，如果在iframe的src指向的页面中设置window.name值，那么就可以通过iframe.contentWindow.name就可以拿到这个值了var url = "http://funteas.com/lab/windowName";var iframe = document.createElement('iframe')iframe.onload = function(){    var data = iframe.contentWindow.name    console.log(data)}iframe.src = urldocument.body.appendChild(iframe)然而，chrome会提示你跨域了！ 而我们已经知道window.name不随URL的改变而改版，也就是说，onload时，已经获取到了name，只不过因为不同源，当前页面的脚本无法拿到iframe.contentWindow.name，此时只需要把iframe.src改为同源即可var url = "http://funteas.com/lab/windowName";var iframe = document.createElement('iframe')iframe.onload = function(){    iframe.src = 'favicon.ico';    var data = iframe.contentWindow.name    console.log(data)}iframe.src = urldocument.body.appendChild(iframe)刷新页面，你会发现iframe不断刷新，这是因为每次onload，iframe的src被修改，然后再次触发onload，从而导致iframe循环刷新，修改下即可var url = "http://funteas.com/lab/windowName";var iframe = document.createElement('iframe')var state = true;iframe.onload = function(){    if(state === true){        iframe.src = 'favicon.ico';        state = false;    }else if(state === false){        state = null        var data = iframe.contentWindow.name        console.log(data)    }}iframe.src = urldocument.body.appendChild(iframe)上面请求的是一个静态页面，而服务端通常需要的是动态数据echo '<script> window.name = "{\"name\":\"story\"}"</script>';

4.postMessage

postMessage允许不同源之间的脚本进行通信，用法otherWindow.postMessage(message, targetOrigin);otherWindow 引用窗口 iframe.contentwindow 或 window.open返回的对象message 为要传递的数据targetOrigin 为目标源// http://127.0.0.1:80var iframe = document.createElement('iframe')iframe.onload = function(){    var popup = iframe.contentWindow    popup.postMessage("hello", "http://127.0.0.1:5000");}iframe.src = 'http://127.0.0.1:5000/lab/postMessage'document.body.appendChild(iframe)// 监听返回的postMessagewindow.addEventListener("message", function(event){    if (event.origin !== "http://127.0.0.1:5000") return;    console.log(event.data)}, false)// http://127.0.0.1:5000/lab/postMessagewindow.addEventListener("message", function(event){    // 验证消息来源    if (event.origin !== "http://127.0.0.1") return;    console.log(event.source); // 消息源 popup    console.log(event.origin); // 消息源URI https://secure.example.NET     console.log(event.data); // 来自消息源的数据 hello    // 返回数据    var message = 'world';    event.source.postMessage(message, event.origin);}, false);

CORS

CORS（跨域资源共享）是一种跨域访问的机制，可以让AJAX实现跨域访问。它允许一个域上的脚本向另一个域提交跨域 AJAX 请求。实现此功能非常简单，只需由服务器发送一个响应标头即可。Access-Control-Allow-Origin: * // 允许来自任何域的请求Access-Control-Allow-Origin: http://funteas.com/ // 仅允许来自http://funteas.com/的请求当客户端的ajax请求的url为其他域时，对于支持CORS的浏览器，请求头会自动添加Origin，值为当前hostvar xhr = new XMLHttpRequest();var url = 'http://bar.other/resources/public-data/';xhr.open('GET', url, true);xhr.send();CORS默认不发送cookie，如果要发送cookie，需要设置withCredentialsvar xhr = new XMLHttpRequest();xhr.withCredentials = true;同时，服务端也要设置Access-Control-Allow-Credentials: true查看MDN关于CORS的介绍【https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS】

0 0