文档章节

详解5种跨域方式及其原理

飞翼
 飞翼
发布于 2016/12/12 19:08
字数 1153
阅读 30
收藏 1
点赞 0
评论 0

同源定义 
如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin)。

以下是同源检测的示例

URL 结果 原因
http://store.company.com/dir2/other.html Success  
http://store.company.com/dir/inner/another.html Success  
https://store.company.com/secure.html Failure 协议不同
http://store.company.com:81/dir/etc.html Failure 端口不同
http://news.company.com/dir/other.html Failure 主机不同

1.jsonp

script标签是不受同源策略影响的,它可以引入来自任何地方的js文件。 
而jsonp的原理就是,在客户端和服务端定义一个函数,当客户端发起一个请求时,服务端返回一段javascript代码,其中调用了在客户端定义的函数,并将相应的数据作为参数传入该函数。

 

function jsonp_cb(data) {

   console.log(data);

}

function ajax(){

   var url = "http://xx.com/test.php?jsonp_callback=jsonp_cb";

   var script = document.createElement('script');

   // 发送请求

   script.src = url;

   document.head.appendChild(script);

}

ajax()

服务端获取到jsonp_callback传递的函数名jsonp_cb,返回一段对该函数调用的js代码

 

jsonp_cb({

  "name": "story"

});

2.img ping

img标签也是没有跨域限制的,但它只能用来发送GET请求,且无法获取服务端的响应文本,可以利用它实现一些简单的、单向的跨域通信,例如跟踪用户的点击

 

var img = new Image();

img.onload = function(){

   console.log('done')

   img.onload = null;

   img = null;

}

img.src = "http://xx/xx.gif"

3.window.name

window对象拥有name属性,它有一个特点:相同协议下,在一个页面中,不随URL的改变而改变 
示例代码

 

window.name = 'string' // 字符串,一般允许的最大值为2M

console.log(window.name)

location = 'http://funteas.com/'

此时,在控制台输入window.name,结果依然是”string”

 

window.name // "string"

window.name的值只能是字符串,任何其他类型的值都会“转化”为字符串 
例如

 

window.name = function(){}

console.log(window.name)

// "function(){}"

通过window.name实现跨域也很简单,iframe拥有contentWindow属性,其指向该iframe的window对象的引用,如果在iframe的src指向的页面中设置window.name值,那么就可以通过iframe.contentWindow.name就可以拿到这个值了

 

var url = "http://funteas.com/lab/windowName";

var iframe = document.createElement('iframe')

iframe.onload = function(){

   var data = iframe.contentWindow.name

   console.log(data)

}

iframe.src = url

document.body.appendChild(iframe)

然而,chrome会提示你跨域了! 
而我们已经知道window.name不随URL的改变而改版,也就是说,onload时,已经获取到了name,只不过因为不同源,当前页面的脚本无法拿到iframe.contentWindow.name,此时只需要把iframe.src改为同源即可

 

var url = "http://funteas.com/lab/windowName";

var iframe = document.createElement('iframe')

iframe.onload = function(){

   iframe.src = 'favicon.ico';

   var data = iframe.contentWindow.name

   console.log(data)

}

iframe.src = url

document.body.appendChild(iframe)

刷新页面,你会发现iframe不断刷新,这是因为每次onload,iframe的src被修改,然后再次触发onload,从而导致iframe循环刷新,修改下即可

 

var url = "http://funteas.com/lab/windowName";

var iframe = document.createElement('iframe')

var state = true;

iframe.onload = function(){

   if(state === true){

       iframe.src = 'favicon.ico';

       state = false;

   }else if(state === false){

       state = null

       var data = iframe.contentWindow.name

       console.log(data)

   }

}

iframe.src = url

document.body.appendChild(iframe)

上面请求的是一个静态页面,而服务端通常需要的是动态数据

 

echo '<script> window.name = "{\"name\":\"story\"}"</script>';

4.postMessage

postMessage允许不同源之间的脚本进行通信,用法

 

otherWindow.postMessage(message, targetOrigin);

  • otherWindow 引用窗口 iframe.contentwindow 或 window.open返回的对象

  • message 为要传递的数据

  • targetOrigin 为目标源

 

// http://127.0.0.1:80

var iframe = document.createElement('iframe')

iframe.onload = function(){

   var popup = iframe.contentWindow

   popup.postMessage("hello", "http://127.0.0.1:5000");

}

iframe.src = 'http://127.0.0.1:5000/lab/postMessage'

document.body.appendChild(iframe)

// 监听返回的postMessage

window.addEventListener("message", function(event){

   if (event.origin !== "http://127.0.0.1:5000") return;

   console.log(event.data)

}, false)

// http://127.0.0.1:5000/lab/postMessage

window.addEventListener("message", function(event){

   // 验证消息来源

   if (event.origin !== "http://127.0.0.1") return;

   console.log(event.source); // 消息源 popup

   console.log(event.origin); // 消息源URI https://secure.example.net

   console.log(event.data); // 来自消息源的数据 hello

   // 返回数据

   var message = 'world';

   event.source.postMessage(message, event.origin);

}, false);

5.CORS

CORS(跨域资源共享)是一种跨域访问的机制,可以让AJAX实现跨域访问。它允许一个域上的脚本向另一个域提交跨域 AJAX 请求。实现此功能非常简单,只需由服务器发送一个响应标头即可。

 

Access-Control-Allow-Origin: * // 允许来自任何域的请求

Access-Control-Allow-Origin: http://funteas.com/ // 仅允许来自http://funteas.com/的请求

当客户端的ajax请求的url为其他域时,对于支持CORS的浏览器,请求头会自动添加Origin,值为当前host

 

var xhr = new XMLHttpRequest();

var url = 'http://bar.other/resources/public-data/';

xhr.open('GET', url, true);

xhr.send();

CORS默认不发送cookie,如果要发送cookie,需要设置withCredentials

 

var xhr = new XMLHttpRequest();

xhr.withCredentials = true;

同时,服务端也要设置

 

Access-Control-Allow-Credentials: true

查看MDN关于CORS的介绍【https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS】

以上是我使用过的跨域方式,其他方式诸如document.domain、flash等,因为没有用过,就不再多作介绍,有兴趣的同学可以自己了解下。

本文转载自:

共有 人打赏支持
飞翼
粉丝 3
博文 62
码字总数 2835
作品 0
北京
程序员
后台开发常问面试题集锦(问题搬运工,附链接)

Java基础问题 String的’+’的性能及原理 java之yield(),sleep(),wait()区别详解-备忘笔记 深入理解Java Stream流水线 抽象 & abstract关键字 Java final 修饰符知识点总结(必看篇) Java中的...

大黄有故事 ⋅ 2017/11/18 ⋅ 0

前端筑基篇(一)->ajax跨域原理以及解决方案

说明 本文内容较老,而且已经不再更新,最新更新请移步 http://www.jianshu.com/p/82b82d5dd1ea 跨域主要是由于浏览器的“同源策略”引起,分为多种类型,本文主要探讨Ajax请求跨域问题 前言 ...

撒网要见鱼 ⋅ 2016/09/21 ⋅ 0

新手入门:史上最全Web端即时通讯技术原理详解

前言 有关IM(InstantMessaging)聊天应用(如:微信,QQ)、消息推送技术(如:现今移动端APP标配的消息推送模块)等即时通讯应用场景下,大多数都是桌面应用程序或者native应用较为流行,而网...

JackJiang- ⋅ 2016/07/12 ⋅ 0

ajax跨域,这应该是最全的解决方案了

前言 搬运的历史文章 从刚接触前端开发起,这个词就一直以很高的频率在身边重复出现,一直到现在,已经调试过N个跨域相关的问题了,16年时也整理过一篇相关文章,但是感觉还是差了点什么,于...

dailc ⋅ 2017/12/18 ⋅ 0

书签

数据库事务隔离级别 - 理解事务的4种隔离级别 20180111 dubbo - Dubbo超时重试机制带来的数据重复问题 20180111 跨域 跨域资源共享 CORS 详解 SpringMVC CORS SpringMVC开启CORS支持 | 2018...

4rnold ⋅ 01/05 ⋅ 0

跨域资源共享的10种方式

同源策略 在客户端编程语言中,如JavaScript和ActionScript,同源策略是一个很重要的安全理念,它在保证数据的安全性方面有着重要的意义。同源策略规定跨域之间的脚本是隔离的,一个域的脚本...

letjs_in ⋅ 2011/07/21 ⋅ 1

10种方式实现跨域资源的共享

10种方式实现跨域资源的共享 同源策略 在客户端编程语言中,如JavaScript和ActionScript,同源策略是一个很重要的安全理念,它在保证数据的安全性方面有着重要的意义。同源策略规定跨域之间的...

Jackin ⋅ 2014/01/23 ⋅ 0

JavaScript最全的10种跨域共享的方法

在客户端编程语言中,如javascript和ActionScript,同源策略是一个很重要的安全理念,它在保证数据的安全性方面有着重要的意 义。同源策略规定跨域之间的脚本是隔离的,一个域的脚本不能访问...

红薯 ⋅ 2011/01/27 ⋅ 1

系统的学习大数据分布式计算spark技术

我们在学习一门技术的时候一定要以系统的思维去学习,这样的话,不仅对你的提高有很大的帮助,也可以让你高效的使用这个技术。 对于学习spark,当然也是要以系统的思维去全面的学习。这篇博客...

tangweiqun ⋅ 2017/09/24 ⋅ 0

ajax跨域资源共享的10种方式

同源策略 在客户端编程语言中,如JavaScript和ActionScript,同源策略是一个很重要的安全理念,它在保证数据的安全性方面有着重要的意义。同源策略规定跨域之间的脚本是隔离的,一个域的脚本...

hcwccc ⋅ 2014/04/22 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

分布式数据库中间件DDM的实现原理

随着数据量不断增大,传统的架构模式难以解决业务量不断增长所带来的问题,特别是在业务成线性、甚至指数级上升的情况。此时我们不得不通过水平扩展,把数据库放到不同服务器上来解决问题,也...

中间件小哥 ⋅ 6分钟前 ⋅ 0

字符编码那点事:快速理解ASCII、Unicode、GBK和UTF-8

原作者:阮一峰(ruanyifeng.com),现重新整理发布,感谢原作者的无私分享。 1、引言 今天中午,我突然想搞清楚 Unicode 和 UTF-8 之间的关系,就开始查资料。 这个问题比我想象的复杂,午饭...

JackJiang- ⋅ 13分钟前 ⋅ 0

Spring Cloud构建微服务架构:服务消费(基础)

使用LoadBalancerClient 在Spring Cloud Commons中提供了大量的与服务治理相关的抽象接口,包括DiscoveryClient、这里我们即将介绍的LoadBalancerClient等。对于这些接口的定义我们在上一篇介...

itcloud ⋅ 14分钟前 ⋅ 0

MaxCompute产品最新进展 -- 从马力到计算力

摘要:本文从马力作为功率衡量标准为切入点,介绍了大数据领域的计算力衡量标准TPCBB以及MaxCompute2.0在Big Bench上的卓越表现。同时详细地分享了取得优异成绩背后的产品在最新有哪些进展,...

猫耳m ⋅ 14分钟前 ⋅ 0

Linux系统

声明:本栏目所使用的素材都是凯哥学堂VIP学员所写,学员有权匿名,对文章有最终解释权;凯哥学堂旨在促进VIP学员互相学习的基础上公开笔记。 Linux系统: Unix:是C语言转做出来的,最早的网...

凯哥学堂 ⋅ 14分钟前 ⋅ 0

13.1 设置更改root密码 13.2 连接mysql 13.3 mysql常用命令

13.1 设置更改root密码 启动MySQL数据库 [root@linux-10 ~]# /etc/init.d/mysqld startStarting MySQL SUCCESS! 由于MySQL的相关命令的所在路径不在系统的环境变量中,因此需要将路径添...

影夜Linux ⋅ 17分钟前 ⋅ 0

jeesite shiro+redis实现cache和session共享

jeesite这个开源框架本身集成的有shiro+redis来实现cache和session共享,但是需要修改一下文件配置即可 首先找到spring-context-shiro.xml文件 找到bean id为sessionDAO,将其修改为如下 <!...

wangxujun59 ⋅ 17分钟前 ⋅ 0

基本JNI搭建

1、编写Java代码 首先我们需要编写自己的java代码 public class Hello { static{ System.loadLibrary("hello-jni"); } public native String sayHello();} 2、把...

国仔饼 ⋅ 19分钟前 ⋅ 0

MaxCompute产品最新进展 -- 从马力到计算力

摘要:本文从马力作为功率衡量标准为切入点,介绍了大数据领域的计算力衡量标准TPCBB以及MaxCompute2.0在Big Bench上的卓越表现。同时详细地分享了取得优异成绩背后的产品在最新有哪些进展,...

阿里云云栖社区 ⋅ 23分钟前 ⋅ 0

AppDelegate 设置Root相关

self.window = UIWindow.init(frame: UIScreen.main.bounds) self.window?.backgroundColor = UIColor.white self.window?.makeKeyAndVisible() self.window?.rootViewController = RootTabB......

west_zll ⋅ 31分钟前 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部