四种post跨域的解决方案:
window.name
cors
flash
iframe
何为跨域:默认情况下,XHR对象只能访问与包含它的页面位于同一个域的资源。这种安全策略可以预防某些恶意行为。但是,实现合理的跨域请求队开发某些浏览器应用程序也是至关重要的。
如何跨域
(一)CORS(Cross-Origin Resource Sharing,跨源资源共享)
CORS(Cross-Origin Resource Sharing,跨源资源共享)是W3C的一个工作草案,定义了在必须访问跨源资源时,浏览器与服务器应该如何沟通。
CORS 背后的基本思想,就是使用自定义的HTTP 头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是失败。
实现此功能很简单,只需由服务器发送一个响应标头即可:
浏览器支持情况:
IE8+
Firefox 3.5+
Opera 12+
Safari 4+
Chrome 3+
假设,我们页面或者应用已在 http://www.a.com/ 上了,而我们打算从 http://www.b.com/ 请求提取数据,一般情况下,如果我们直接使用 ajax 来请求,将会失败,浏览器也会返回错误。
利用 CORS,http://www.b.com/ 只需添加一个标头,就可以允许来自 http://www.a.com/ 的请求。
下面是用php进行的设置,"*"号表示允许任何域向我们的服务器端提交请求:
header{ "Access-Control-Allow-Origin: *" }
CORS 的兼容性写法:
function createCORSRequest(method, url){
var xhr = new XMLHttpRequest();
// 非IE浏览器
if("withCredentials" in xhr){
xhr.open(method, url, true);
} else if(typeof XDomainRequest != "undefined") {
xhr = new XDomainRequest();
xhr.open(method, url);
} else {
xhr = null;
}
return xhr;
}
var request = createCORSRequest("get", "http://www.somewhere-else.com/page/");
if(request){
request.onload = function(){
// 对request.responseText 进行处理
};
request.send();
}
(二)JSONP(JSON with Padding 填充式JSON 或参数式JSON)
在 js 中,我们虽然不能直接用XMLHttpRequest请求不同域上的数据时,但是在页面上引入不同域伤的 js 脚本文件确是可以的,jsonp正是利用这个特性来实现的。
JSONP 由两部分组成:回调函数和数据。回调函数是当响应到来时,应该在页面中调用的函数,而数据就是传入回调函数中的JSON数据。
eg:
<script type="text/javascript>
function dosomething(jsondata){
// 处理获得的json数据
}
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>
首先,第一个 script 便签定义了一个处理数据的函数,
然后第二个 script 标签载入了一个js文件,http://example.com/data.php 是数据所在地址,但是因为是当做js来引入的,所以http://example.com/data.php 返回的必须是一个能执行的js文件;
最后 js 文件载入成功后会执行我们在url参数中指定的函数,并且会把我们需要的 json 数据作为参数传入。所以php应该是这样的:
<?php
$callback = $_GET['callback'];// 得到回调函数名
$data = array('a', 'b', 'c');// 得到返回的数据
echo $callback.'('.json_encode($data).')';// 输出
?>
最终,输出结果为:dosomething(['a', 'b', 'c']);
从上面可以看出 jsonp 是需要服务器端的页面进行相应的配合的。
JSONP的优缺点:
优点:
- 它的兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持;
- 能够直接访问响应文本,支持在浏览器与服务器之间双向通信
缺点:
- JSONP 是从其他域中加载代码执行。如果其他域不安全,很可能会在响应中夹带一些恶意代码,而此时除了完全放弃JSONP 调用之外,没有办法追究。因此在使用不是你自己运维的Web 服务时,一定得保证它安全可靠。
- 它只支持GET请求而不支持POST等其它类型的HTTP请求;它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。
(三)window.name
window 对象有个 name 属性,该属性有个特征:即在一个窗口(window)的生命周期内,窗口载入的所有页面都是共享一个window.name的,每个页面对window.name都有读写的权限,
这里有三个页面:
- a.com/app.html:应用页面。
- a.com/proxy.html:代理文件,一般是一个没有任何内容的html文件,需要和应用页面在同一域下。
- b.com/data.html:应用页面需要获取数据的页面,可称为数据页面。
app.html
<iframe src="b.com/data.html" id="iframe"></iframe>
<script>
var iframe = document.getElementById("iframe");
iframe.src = "a.com/proxy.html";//这是一个与a.com/app.html同源的页面
iframe.onload = function(){
var data = iframe.contentWindow.name; //取到数据
}
</script>
data.html
<script>
// 这里是要传输的数据,大小一般为2M,IE和firefox下可以大至32M左右
// 数据格式可以自定义,如json、字符串
window.name = "数据"
</script>
iframe 首先的地址是 b.com/data.html ,所以能取到 window.name 数据;
但是 iframe 现在跟 app.html 并不同源,app.html无法获取到数据,所以又将 iframe 的链接跳转至 a.com/proxy.html 这个代理页面,现在 app.html 跟 iframe 就同源了。
注意:iframe 由 b.com/data.html 跳转到 a.com/proxy.html 页面,window.name 的 value 是不变的
获取数据以后销毁这个iframe,释放内存;这也保证了安全(不被其他域frame js访问)
<script type="text/javascript">
iframe.contentWindow.document.write('');
iframe.contentWindow.close();
document.body.removeChild(iframe);
</script>
(四)document.domain + iframe
对于主域相同而子域不同的例子,可以通过设置 document.domain 的办法来解决。
具体的做法是可以在 http://www.a.com/a.html 和 http://script.a.com/b.html 两个文件中分别设置document.domain = 'a.com',然后通过 a.html 文件中创建一个 iframe,去控制 iframe 的 contentDocument ,这样两个 js 文件之间就可以“交互”了。
<iframe src="http://script.a.com/b.html" frameborder="0"></iframe>
<script>
document.domain = 'a.com';
</script>
<script>
document.domain = 'a.com';
</script>
这样俩个页面就可以通过 js 相互访问各种属性和对象了。
document.domain 的设置是有限制的,我们只能把 document.domain 设置成自身或更高一级的父域,且主域必须相同。
例如:a.b.example.com 中某个文档的 document.domain 可以设成 a.b.example.com、b.example.com 、example.com 中的任意一个,但是不可以设成 c.a.b.example.com,因为这是当前域的子域,也不可以设成 baidu.com,因为主域已经不相同了。
用法:
otherWindow.postMessage(message, targetOrigin);
- otherWindow: 对接收信息页面的window的引用。可以是页面中iframe的contentWindow属性;window.+open的返回值;通过name或下标从window.frames取到的值。
- message: 所要发送的数据,string类型。
- targetOrigin: 用于限制otherWindow,“*”表示不作限制
数据发送端
a.com/index.html 中的代码:
<iframe id="ifr" src="b.com/index.html"></iframe>
<script type="text/javascript">
window.onload = function() {
var ifr = document.getElementById('ifr');
var targetOrigin = 'http://b.com'; // 设定接收端的域,*则为不限制
ifr.contentWindow.postMessage('I was there!', targetOrigin);
};
</script>
数据接收端
b.com/index.html 中的代码:
<script type="text/javascript">
window.addEventListener('message', function(event){
// 通过origin属性判断消息来源地址
if (event.origin == 'http://a.com') {
alert(event.data); // 弹出"I was there!"
alert(event.source); // 对a.com、index.html中window对象的引用
// 但由于同源策略,这里event.source不可以访问window对象
}
}, false);
</script>
