js中几种实用的跨域方法原理详解
什么是同源策略?
同源策略/SOP(Same origin policy)是一種約定,由Netscape公司1995年引入瀏覽器,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,瀏覽器很容易受到XSS、CSFR等攻擊。所謂同源是指"協(xié)議+域名+端口"三者相同,即便兩個(gè)不同的域名指向同一個(gè)ip地址,也非同源。
同源策略限制以下幾種行為:
1、Cookie、LocalStorage 和 IndexDB 無法讀取
2、 DOM 和 Js對象無法獲得
3、 AJAX 請求不能發(fā)送這里說的js跨域是指通過js在不同的域之間進(jìn)行數(shù)據(jù)傳輸或通信,比如用ajax向一個(gè)不同的域請求數(shù)據(jù),或者通過js獲取頁面中不同域的框架中(iframe)的數(shù)據(jù)。只要協(xié)議、域名、端口有任何一個(gè)不同,都被當(dāng)作是不同的域。
下表給出了相對http://store.company.com/dir/page.html同源檢測的結(jié)果:
要解決跨域的問題,我們可以使用以下幾種方法:
一、通過jsonp跨域
在js中,我們直接用XMLHttpRequest請求不同域上的數(shù)據(jù)時(shí),是不可以的。但是,在頁面上引入不同域上的js腳本文件卻是可以的,jsonp正是利用這個(gè)特性來實(shí)現(xiàn)的。
比如,有個(gè)a.html頁面,它里面的代碼需要利用ajax獲取一個(gè)不同域上的json數(shù)據(jù),假設(shè)這個(gè)json數(shù)據(jù)地址是http://example.com/data.php,那么a.html中的代碼就可以這樣:
我們看到獲取數(shù)據(jù)的地址后面還有一個(gè)callback參數(shù),按慣例是用這個(gè)參數(shù)名,但是你用其他的也一樣。當(dāng)然如果獲取數(shù)據(jù)的jsonp地址頁面不是你自己能控制的,就得按照提供數(shù)據(jù)的那一方的規(guī)定格式來操作了。
因?yàn)槭钱?dāng)做一個(gè)js文件來引入的,所以http://example.com/data.php返回的必須是一個(gè)能執(zhí)行的js文件,所以這個(gè)頁面的php代碼可能是這樣的:
最終那個(gè)頁面輸出的結(jié)果是:
所以通過http://example.com/data.php?callback=dosomething得到的js文件,就是我們之前定義的dosomething函數(shù),并且它的參數(shù)就是我們需要的json數(shù)據(jù),這樣我們就跨域獲得了我們需要的數(shù)據(jù)。
這樣jsonp的原理就很清楚了,通過script標(biāo)簽引入一個(gè)js文件,這個(gè)js文件載入成功后會(huì)執(zhí)行我們在url參數(shù)中指定的函數(shù),并且會(huì)把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進(jìn)行相應(yīng)的配合的。
知道jsonp跨域的原理后我們就可以用js動(dòng)態(tài)生成script標(biāo)簽來進(jìn)行跨域操作了,而不用特意的手動(dòng)的書寫那些script標(biāo)簽。如果你的頁面使用jquery,那么通過它封裝的方法就能很方便的來進(jìn)行jsonp操作了。
原理是一樣的,只不過我們不需要手動(dòng)的插入script標(biāo)簽以及定義回掉函數(shù)。jquery會(huì)自動(dòng)生成一個(gè)全局函數(shù)來替換callback=?中的問號(hào),之后獲取到數(shù)據(jù)后又會(huì)自動(dòng)銷毀,實(shí)際上就是起一個(gè)臨時(shí)代理函數(shù)的作用。$.getJSON方法會(huì)自動(dòng)判斷是否跨域,不跨域的話,就調(diào)用普通的ajax方法;跨域的話,則會(huì)以異步加載js文件的形式來調(diào)用jsonp的回調(diào)函數(shù)。
2、通過修改document.domain來跨子域
瀏覽器都有一個(gè)同源策略,其限制之一就是第一種方法中我們說的不能通過ajax的方法去請求不同源中的文檔。 它的第二個(gè)限制是瀏覽器中不同域的框架之間是不能進(jìn)行js的交互操作的。有一點(diǎn)需要說明,不同的框架之間(父子或同輩),是能夠獲取到彼此的window對象的,但蛋疼的是你卻不能使用獲取到的window對象的屬性和方法(html5中的postMessage方法是一個(gè)例外,還有些瀏覽器比如ie6也可以使用top、parent等少數(shù)幾個(gè)屬性),總之,你可以當(dāng)做是只能獲取到一個(gè)幾乎無用的window對象。比如,有一個(gè)頁面,它的地址是http://www.example.com/a.html , 在這個(gè)頁面里面有一個(gè)iframe,它的src是http://example.com/b.html, 很顯然,這個(gè)頁面與它里面的iframe框架是不同域的,所以我們是無法通過在頁面中書寫js代碼來獲取iframe中的東西的:
這個(gè)時(shí)候,document.domain就可以派上用場了,我們只要把http://www.example.com/a.html和http://example.com/b.html這兩個(gè)頁面的document.domain都設(shè)成相同的域名就可以了。但要注意的是,document.domain的設(shè)置是有限制的,我們只能把document.domain設(shè)置成自身或更高一級(jí)的父域,且主域必須相同。例如:a.b.example.com 中某個(gè)文檔的document.domain 可以設(shè)成a.b.example.com、b.example.com 、example.com中的任意一個(gè),但是不可以設(shè)成 c.a.b.example.com,因?yàn)檫@是當(dāng)前域的子域,也不可以設(shè)成baidu.com,因?yàn)橹饔蛞呀?jīng)不相同了。
在頁面http://www.example.com/a.html中設(shè)置document.domain:
在頁面http://example.com/b.html中也設(shè)置document.domain,而且這也是必須的,雖然這個(gè)文檔的domain就是example.com,但是還是必須顯示的設(shè)置document.domain的值:
這樣我們就可以通過js訪問到iframe中的各種屬性和對象了。
不過如果你想在http://www.example.com/a.html頁面中通過ajax直接請求http://example.com/b.html頁面,即使你設(shè)置了相同的document.domain也還是不行的,所以修改document.domain的方法只適用于不同子域的框架間的交互。如果你想通過ajax的方法去與不同子域的頁面交互,除了使用jsonp的方法外,還可以用一個(gè)隱藏的iframe來做一個(gè)代理。原理就是讓這個(gè)iframe載入一個(gè)與你想要通過ajax獲取數(shù)據(jù)的目標(biāo)頁面處在相同的域的頁面,所以這個(gè)iframe中的頁面是可以正常使用ajax去獲取你要的數(shù)據(jù)的,然后就是通過我們剛剛講得修改document.domain的方法,讓我們能通過js完全控制這個(gè)iframe,這樣我們就可以讓iframe去發(fā)送ajax請求,然后收到的數(shù)據(jù)我們也可以獲得了。
3、使用window.name來進(jìn)行跨域
window對象有個(gè)name屬性,該屬性有個(gè)特征:即在一個(gè)窗口(window)的生命周期內(nèi),窗口載入的所有的頁面都是共享一個(gè)window.name的,每個(gè)頁面對window.name都有讀寫的權(quán)限,window.name是持久存在一個(gè)窗口載入過的所有頁面中的,并不會(huì)因新頁面的載入而進(jìn)行重置。
比如:有一個(gè)頁面a.html,它里面有這樣的代碼:
再看看b.html頁面的代碼:
a.html頁面載入后3秒,跳轉(zhuǎn)到了b.html頁面,結(jié)果為:
我們看到在b.html頁面上成功獲取到了它的上一個(gè)頁面a.html給window.name設(shè)置的值。如果在之后所有載入的頁面都沒對window.name進(jìn)行修改的話,那么所有這些頁面獲取到的window.name的值都是a.html頁面設(shè)置的那個(gè)值。當(dāng)然,如果有需要,其中的任何一個(gè)頁面都可以對window.name的值進(jìn)行修改。注意,window.name的值只能是字符串的形式,這個(gè)字符串的大小最大能允許2M左右甚至更大的一個(gè)容量,具體取決于不同的瀏覽器,但一般是夠用了。
上面的例子中,我們用到的頁面a.html和b.html是處于同一個(gè)域的,但是即使a.html與b.html處于不同的域中,上述結(jié)論同樣是適用的,這也正是利用window.name進(jìn)行跨域的原理。
下面就來看一看具體是怎么樣通過window.name來跨域獲取數(shù)據(jù)的。還是舉例說明。
比如有一個(gè)www.example.com/a.html頁面,需要通過a.html頁面里的js來獲取另一個(gè)位于不同域上的頁面www.cnblogs.com/data.html里的數(shù)據(jù)。
data.html頁面里的代碼很簡單,就是給當(dāng)前的window.name設(shè)置一個(gè)a.html頁面想要得到的數(shù)據(jù)值。data.html里的代碼:
那么在a.html頁面中,我們怎么把data.html頁面載入進(jìn)來呢?顯然我們不能直接在a.html頁面中通過改變window.location來載入data.html頁面,因?yàn)槲覀兿胍词筧.html頁面不跳轉(zhuǎn)也能得到data.html里的數(shù)據(jù)。答案就是在a.html頁面中使用一個(gè)隱藏的iframe來充當(dāng)一個(gè)中間人角色,由iframe去獲取data.html的數(shù)據(jù),然后a.html再去得到iframe獲取到的數(shù)據(jù)。
充當(dāng)中間人的iframe想要獲取到data.html的通過window.name設(shè)置的數(shù)據(jù),只需要把這個(gè)iframe的src設(shè)為www.cnblogs.com/data.html就行了。然后a.html想要得到iframe所獲取到的數(shù)據(jù),也就是想要得到iframe的window.name的值,還必須把這個(gè)iframe的src設(shè)成跟a.html頁面同一個(gè)域才行,不然根據(jù)前面講的同源策略,a.html是不能訪問到iframe里的window.name屬性的。這就是整個(gè)跨域過程。
看下a.html頁面的代碼:
上面的代碼只是最簡單的原理演示代碼,你可以對使用js封裝上面的過程,比如動(dòng)態(tài)的創(chuàng)建iframe,動(dòng)態(tài)的注冊各種事件等等,當(dāng)然為了安全,獲取完數(shù)據(jù)后,還可以銷毀作為代理的iframe。網(wǎng)上也有很多類似的現(xiàn)成代碼,有興趣的可以去找一下。
通過window.name來進(jìn)行跨域,就是這樣子的。
4、使用HTML5中新引進(jìn)的window.postMessage方法來跨域傳送數(shù)據(jù)
window.postMessage(message,targetOrigin) 方法是html5新引進(jìn)的特性,可以使用它來向其它的window對象發(fā)送消息,無論這個(gè)window對象是屬于同源或不同源,目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經(jīng)支持window.postMessage方法。
調(diào)用postMessage方法的window對象是指要接收消息的那一個(gè)window對象,該方法的第一個(gè)參數(shù)message為要發(fā)送的消息,類型只能為字符串;第二個(gè)參數(shù)targetOrigin用來限定接收消息的那個(gè)window對象所在的域,如果不想限定域,可以使用通配符 * 。
需要接收消息的window對象,可是通過監(jiān)聽自身的message事件來獲取傳過來的消息,消息內(nèi)容儲(chǔ)存在該事件對象的data屬性中。
上面所說的向其他window對象發(fā)送消息,其實(shí)就是指一個(gè)頁面有幾個(gè)框架的那種情況,因?yàn)槊恳粋€(gè)框架都有一個(gè)window對象。在討論第二種方法的時(shí)候,我們說過,不同域的框架間是可以獲取到對方的window對象的,而且也可以使用window.postMessage這個(gè)方法。下面看一個(gè)簡單的示例,有兩個(gè)頁面
我們運(yùn)行a頁面后得到的結(jié)果:
我們看到b頁面成功的收到了消息。
使用postMessage來跨域傳送數(shù)據(jù)還是比較直觀和方便的,但是缺點(diǎn)是IE6、IE7不支持,所以用不用還得根據(jù)實(shí)際需要來決定。
5.CORS
Cross-Origin Resource Sharing(CORS)跨域資源共享是一份瀏覽器技術(shù)的規(guī)范,提供了 Web 服務(wù)從不同域傳來沙盒腳本的方法,以避開瀏覽器的同源策略,確保安全的跨域數(shù)據(jù)傳輸。現(xiàn)代瀏覽器使用CORS在API容器如XMLHttpRequest來減少HTTP請求的風(fēng)險(xiǎn)來源。與 JSONP 不同,CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。服務(wù)器一般需要增加如下響應(yīng)頭的一種或幾種:
Access-Control-Allow-Origin: * Access-Control-Allow-Methods: POST, GET, OPTIONS Access-Control-Allow-Headers: X-PINGOTHER, Content-Type Access-Control-Max-Age: 86400
跨域請求默認(rèn)不會(huì)攜帶Cookie信息,如果需要攜帶,請配置下述參數(shù):
"Access-Control-Allow-Credentials": true // Ajax設(shè)置 "withCredentials": true
6、 Nodejs中間件代理跨域
node中間件實(shí)現(xiàn)跨域代理,原理大致與nginx相同,都是通過啟一個(gè)代理服務(wù)器,實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā),也可以通過設(shè)置cookieDomainRewrite參數(shù)修改響應(yīng)頭中cookie中域名,實(shí)現(xiàn)當(dāng)前域的cookie寫入,方便接口登錄認(rèn)證。
1、 非vue框架的跨域(2次跨域)
利用node + express + http-proxy-middleware搭建一個(gè)proxy服務(wù)器。
1.)前端代碼示例:
var xhr = new XMLHttpRequest();
// 前端開關(guān):瀏覽器是否讀寫cookie
xhr.withCredentials = true;
// 訪問http-proxy-middleware代理服務(wù)器
xhr.open('get', 'http://www.demo1.com:3000/login?user=admin', true);
xhr.send();
2.)中間件服務(wù)器:
var express = require('express');
var proxy = require('http-proxy-middleware');
var app = express();
app.use('/', proxy({
// 代理跨域目標(biāo)接口
target: 'http://www.demo2.com:8080',
changeOrigin: true,
// 修改響應(yīng)頭信息,實(shí)現(xiàn)跨域并允許帶cookie
onProxyRes: function(proxyRes, req, res) {
res.header('Access-Control-Allow-Origin', 'http://www.domain1.com');
res.header('Access-Control-Allow-Credentials', 'true');
},
// 修改響應(yīng)信息中的cookie域名
cookieDomainRewrite: 'www.demo1.com' // 可以為false,表示不修改
}));
app.listen(3000);
console.log('Proxy server is listen at port 3000...');
3.)Nodejs后臺(tái)
ar http = require('http');
var server = http.createServer();
var qs = require('querystring');
server.on('request', function(req, res) {
var params = qs.parse(req.url.substring(2));
// 向前臺(tái)寫cookie
res.writeHead(200, {
'Set-Cookie': 'l=a123456;Path=/;Domain=www.demo2.com;HttpOnly' // HttpOnly:腳本無法讀取
});
res.write(JSON.stringify(params));
res.end();
});
server.listen('8080');
console.log('Server is running at port 8080...');
2、 vue框架的跨域(1次跨域)
利用node + webpack + webpack-dev-server代理接口跨域。在開發(fā)環(huán)境下,由于vue渲染服務(wù)和接口代理服務(wù)都是webpack-dev-server同一個(gè),所以頁面與代理接口之間不再跨域,無須設(shè)置headers跨域信息了。
webpack.config.js部分配置:
module.exports = {
entry: {},
module: {},
...
devServer: {
historyApiFallback: true,
proxy: [{
context: '/login',
target: 'http://www.demo2.com:8080', // 代理跨域目標(biāo)接口
changeOrigin: true,
secure: false, // 當(dāng)代理某些https服務(wù)報(bào)錯(cuò)時(shí)用
cookieDomainRewrite: 'www.demo1.com' // 可以為false,表示不修改
}],
noInfo: true
}
}
7、 WebSocket協(xié)議跨域
WebSocket protocol是HTML5一種新的協(xié)議。它實(shí)現(xiàn)了瀏覽器與服務(wù)器全雙工通信,同時(shí)允許跨域通訊,是server push技術(shù)的一種很好的實(shí)現(xiàn)。
原生WebSocket API使用起來不太方便,我們使用Socket.io,它很好地封裝了webSocket接口,提供了更簡單、靈活的接口,也對不支持webSocket的瀏覽器提供了向下兼容。
1.)前端代碼:
<div>user input:<input type="text"></div>
<script src="./socket.io.js"></script>
<script>
var socket = io('http://www.demo2.com:8080');
// 連接成功處理
socket.on('connect', function() {
// 監(jiān)聽服務(wù)端消息
socket.on('message', function(msg) {
console.log('data from server: ---> ' + msg);
});
// 監(jiān)聽服務(wù)端關(guān)閉
socket.on('disconnect', function() {
console.log('Server socket has closed.');
});
});
document.getElementsByTagName('input')[0].onblur = function() {
socket.send(this.value);
};
</script>
2.)Nodejs socket后臺(tái):
// 啟http服務(wù)
var server = http.createServer(function(req, res) {
res.writeHead(200, {
'Content-type': 'text/html'
});
res.end();
});
server.listen('8080');
console.log('Server is running at port 8080...');
// 監(jiān)聽socket連接
socket.listen(server).on('connection', function(client) {
// 接收信息
client.on('message', function(msg) {
client.send('hello:' + msg);
console.log('data from client: ---> ' + msg);
});
// 斷開處理
client.on('disconnect', function() {
console.log('Client socket has closed.');
});
});
參考博文:
https://www.cnblogs.com/2050/p/3191744.html
https://www.cnblogs.com/sdcs/p/8484905.html
總結(jié)
以上是生活随笔為你收集整理的js中几种实用的跨域方法原理详解的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 成都的歌词完整的(成都的歌词)
- 下一篇: 洗车后的一些小动作会增加轮胎爆胎几率?