前言
本文主要給大家介紹了關于web開發之跨域的解決方案�,分享出來供大家參考學習�,下面話不多說了��,來一起看看詳細的介紹吧����。
什么是跨域�?
概念如下:只要協議、域名����、端口有任何一個不同,都被當作是不同的域
下面是具體的跨域情況詳解
| URL | 說明 | 是否允許通信 |
| http://www.a.com/a.js�、http://www.a.com/b.js | 同一域名下 | 允許 |
| http://www.a.com/lab/a.js����、http://www.a.com/script/b.js | 同一域名下不同文件夾 | 允許 |
| http://www.a.com:8000/a.js��、http://www.a.com/b.js | 同一域名�,不同端口 | 不允許 |
| http://www.a.com/a.js、https://www.a.com/b.js | 同一域名����,不同協議 | 不允許 |
| http://www.a.com/a.js、http://70.32.92.74/b.js | 域名和域名對應ip | 不允許 |
| http://www.a.com/a.js�、http://script.a.com/b.js | 主域相同,子域不同 | 不允許(cookie這種情況下也不允許訪問) |
| http://www.a.com/a.js����、http://a.com/b.js | 同一域名,不同二級域名(同上) | 不允許(cookie這種情況下也不允許訪問) |
| http://www.cnblogs.com/a.js��、http://www.a.com/b.js | 不同域名 | 不允許 |
一����、document.domain跨域
原理:相同主域名不同子域名下的頁面,可以設置document.domain讓它們同域
限制:同域document提供的是頁面間的互操作����,需要載入iframe頁面
下面幾個域名下的頁面都是可以通過document.domain跨域互操作的: http://a.com/foo, http://b.a.com/bar, http://c.a.com/bar����。 但只能以頁面嵌套的方式來進行頁面互操作��,比如常見的iframe方式就可以完成頁面嵌套
// URL http://a.com/foovar ifr = document.createElement('iframe');ifr.src = 'http://b.a.com/bar'; ifr.onload = function(){ var ifrdoc = ifr.contentDocument || ifr.contentWindow.document; ifrdoc.getElementsById("foo").innerHTML);};ifr.style.display = 'none';document.body.appendChild(ifr);上述代碼所在的URL是http://a.com/foo�,它對http://b.a.com/bar的DOM訪問要求后者將 document.domain往上設置一級
// URL http://b.a.com/bardocument.domain = 'a.com'
document.domain只能從子域設置到主域,往下設置以及往其他域名設置都是不允許的�, 在Chrome中給出的錯誤是這樣的
Uncaught DOMException: Failed to set the 'domain' property on 'Document': 'baidu.com' is not a suffix of 'b.a.com'
二��、有src的標簽
原理:所有具有src屬性的HTML標簽都是可以跨域的�,包括<img>, <script>
限制:需要創建一個DOM對象,只能用于GET方法
在document.body中append一個具有src屬性的HTML標簽�, src屬性值指向的URL會以GET方法被訪問,該訪問是可以跨域的
其實樣式表的<link>標簽也是可以跨域的��,只要是有src或href的HTML標簽都有跨域的能力
不同的HTML標簽發送HTTP請求的時機不同��,例如<img>在更改src屬性時就會發送請求��,而script, iframe, link[rel=stylesheet]只有在添加到DOM樹之后才會發送HTTP請求:
var img = new Image();img.src = 'http://some/picture'; // 發送HTTP請求var ifr = $('<iframe>', {src: 'http://b.a.com/bar'});$('body').append(ifr); // 發送HTTP請求三�、JSONP
原理:<script>是可以跨域的,而且在跨域腳本中可以直接回調當前腳本的函數
限制:需要創建一個DOM對象并且添加到DOM樹�,只能用于GET方法
JSONP利用的是<script>可以跨域的特性,跨域URL返回的腳本不僅包含數據,還包含一個回調
// URL: http://b.a.com/foovar data = { foo: 'bar', bar: 'foo'};callback(data);然后在我們在主站http://a.com中����,可以這樣來跨域獲取http://b.a.com的數據:
// URL: http://a.com/foovar callback = function(data){ // 處理跨域請求得到的數據};var script = $('<script>', {src: 'http://b.a.com/bar'});$('body').append(script);其實jQuery已經封裝了JSONP的使用,我們可以這樣來
$.getJSON( "http://b.a.com/bar?callback=callback", function( data ){ // 處理跨域請求得到的數據});$.getJSON與$.get的區別是前者會把responseText轉換為JSON�,而且當URL具有callback參數時, jQuery將會把它解釋為一個JSONP請求�,創建一個<script>標簽來完成該請求
四、navigation 對象
原理:iframe之間是共享navigator對象的��,用它來傳遞信息
要求:IE6/7
有些人注意到了IE6/7的一個漏洞:iframe之間的window.navigator對象是共享的�。 我們可以把它作為一個Messenger,通過它來傳遞信息�。比如一個簡單的委托:
// a.comnavigation.onData(){ // 數據到達的處理函數}typeof navigation.getData === 'function' || navigation.getData()// b.comnavigation.getData = function(){ $.get('/path/under/b.com') .success(function(data){ typeof navigation.onData === 'function' || navigation.onData(data) });}與document.navigator類似,window.name也是當前窗口所有頁面所共享的��。也可以用它來傳遞信息�。 同樣蛋疼的辦法還有傳遞Hash(有些人叫錨點),這是因為每次瀏覽器打開一個URL時����,URL后面的#xxx部分會保留下來,那么新的頁面可以從這里獲得上一個頁面的數據
五�、跨域資源共享(CORS)
原理:服務器設置Access-Control-Allow-OriginHTTP響應頭之后,瀏覽器將會允許跨域請求
限制:瀏覽器需要支持HTML5����,可以支持POST�,PUT等方法
前面提到的跨域手段都是某種意義上的Hack��, HTML5標準中提出的跨域資源共享(Cross Origin Resource Share��,CORS)才是正道�。 它支持其他的HTTP方法如PUT, POST等,可以從本質上解決跨域問題��。
例如�,從http://a.com要訪問http://b.com的數據,通常情況下Chrome會因跨域請求而報錯
XMLHttpRequest cannot load http://b.com. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://a.com' is therefore not allowed access
錯誤原因是被請求資源沒有設置Access-Control-Allow-Origin�,所以我們在b.com的服務器中設置這個響應頭字段即可
Access-Control-Allow-Origin: * # 允許所有域名訪問�,或者Access-Control-Allow-Origin: http://a.com # 只允許所有域名訪問
六、window.postMessage
原理:HTML5允許窗口之間發送消息
限制:瀏覽器需要支持HTML5����,獲取窗口句柄后才能相互通信
這是一個安全的跨域通信方法,postMessage(message,targetOrigin)也是HTML5引入的特性��。 可以給任何一個window發送消息�,不論是否同源。第二個參數可以是*但如果你設置了一個URL但不相符��,那么該事件不會被分發?���?匆粋€普通的使用方式吧
// URL: http://a.com/foovar win = window.open('http://b.com/bar');win.postMessage('Hello, bar!', 'http://b.com');// URL: http://b.com/barwindow.addEventListener('message',function(event) { console.log(event.data);});七、訪問控制安全的討論
在HTML5之前��,JSONP已經成為跨域的事實標準了��,jQuery都給出了支持��。 值得注意的是它只是Hack����,并沒有產生額外的安全問題。 因為JSONP要成功獲取數據����,需要跨域資源所在服務器的配合,比如資源所在服務器需要自愿地回調一個合適的函數��,所以服務器仍然有能力控制資源的跨域訪問
跨域的正道還是要使用HTML5提供的CORS頭字段以及window.postMessage�, 可以支持POST, PUT等HTTP方法,從機制上解決跨域問題��。 值得注意的是Access-Control-Allow-Origin頭字段是資源所在服務器設置的�, 訪問控制的責任仍然是在提供資源的服務器一方��,這和JSONP是一樣的
總結
以上就是這篇文章的全部內容了�,希望本文的內容對大家的學習或者工作能帶來一定的幫助����,如果有疑問大家可以留言交流,謝謝大家對武林網的支持�。
