JS学习笔记之跨域

在日常开发中,我们经常能够碰到跨域相关的问题,在浏览器控制台中,其通常表现如下:


跨域.jpg

那报错产生的原因是什么?我们又有哪些方式可以进行跨域呢?

同源策略

浏览器出于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
这里的同源,指的是同协议同域名同端口
造成上述报错的根本原因就是:请求数据的接口地址与当前页面地址不同源!

几种常见的跨域方式

那假设我们就是想访问不同源的接口数据,是否有相应的解决方案呢?通常,有如下几种方式:

JSONP

HTML 中 script 标签可以加载其他域下的js。当我们引入第三方的JS文件时,其地址与当前页面显然不同源,但该方式却可以绕开同源策略的限制,加载外部JS文件并执行。

既然如此,那完全可以依葫芦画瓢,用该方式直接去服务端获取数据,譬如如下操作:

<script src="localhost:8080/getMoney"></script>

需要注意的是,虽然可以获取到JSON数据,但我们却无法直接操作它。所以,我们得做一点小改进:

function handle() {
  // TODO...
}
<script src="localhost:8080/getMoney?callback=handle&userId=XXX"></script>

// 通常,我们会动态添加script,而不是写死
function add() {
  var script = document.createElement("script");
  script.src = "localhost:8080/getMoney?callback=handle&userId=XX";
  document.body.appendChild(script);
}

这里我们事先定义了一个handle函数,并在请求的地址后面附上了callback=handle&userId=XXX这样一段信息。这样做的根本目的是:当请求到达后端后,后端会解析callback拿到handle字符串,原本后端直接发送JSON数据{money: 100}即可,现在会在JSON数据外封装一层,变为handle({money: 100})。当浏览器加载完该请求时,该部分会被当做js立即执行,又因为我们事先定义好了handle函数,这样我们可以直接操作返回的数据了。

需要注意的是,JSONP只支持GET请求!
具体实现请参照demo地址

CORS

JSONP跨域请求,给人一种hack的味道,那纯正的XMLHttpRequest是否支持跨域呢?答案是肯定的。

CORS(跨域资源共享):若你的浏览器和访问的服务器都支持CORS,那你就可以像使用普通的ajax请求那样使用它。其内部实现过程如下:

  1. 浏览器检测到某个请求非同源,自动在请求头部加上origin字段;
  2. 服务器接收到请求后,检测origin是否在许可范围内,若允许则在响应头中添加Access-Control-Allow-Origin:XXX;
  3. 响应到底浏览器后,浏览器去判断响应头中是否存在Access-Control-Allow-Origin,若不存在,浏览器直接驳回;若存在且请求头中的origin值与响应头中的Access-Control-Allow-Origin的值相等,若相等,则接受数据。

具体实现请参照demo地址

JSONP与CORS比较

  1. JSONP只支持GET请求,CORS支持所有类型的 HTTP 请求;
  2. JSONP兼容性好,支持所有浏览器;CORS需要浏览器与服务器同时支持;
  3. JSONP类似于hack处理,JSONP只要浏览器与服务器都支持,就可以像使用普通ajax请求那样,请求数据。

iframe跨域

首先,明确一点:iframe遵循同源策略,即当前页面地址如果与嵌入的iframe的地址不一样,则不能直接操作iframe,如果你这样做了,那控制台会毫不客气的给你类似这样的一个警告:

非同源访问iframe.jpg

实际上,我们可以操作iframe,前提是主域名必须一致,然后我们通过降域的方式,让当前页面的domainiframedomain一致即可。

具体实现请参照demo地址

postMessage跨域

上述iframe,需要主域相同才可以实现父窗口与子窗口通信,那倘若两个完全不同源的父子窗口又该如何通信呢?

HTML5为了解决跨域,引入了新的API,跨文档通信 API。这个API为window对象新增了一个window.postMessage方法,允许跨窗口通信,不论这两个窗口是否同源。
举例来说,非同源的两个窗口a.comb.coma.com需要调用b.com的接口获取一些数据,这个时候只需要调用postMessage发一些参数给b.com的接口。b.com的接口通过监听message函数来获取参数(origin允许的情况下),然后通过正常的ajax请求获取b.com该接口的数据。同理,将调取到的数据以同样的方式返回给a.com。其实现如下:

// a.com父窗口
窗口a.postMessage("参数", "b.com");
window.addEventListener("message", function(e){
  // 哈哈,我拿到了b.com下的接口数据
});

// b.com子窗口
window.addEventListener("message", function(e){
  // 拿到参数e.data,然后TODO...
});
窗口b.postMessage("ajax请求到的数据", "a.com");

具体实现请参照demo地址

其他跨域方式(WebSocket敬请期待)

(P.S. 除上述几种方式,我们还可以架设服务器代理:浏览器请求同源服务器,再由后者请求外部服务)

参考文章: 1. 阮一峰-CORS通信 2.阮一峰-浏览器同源政策及其规避方法

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,968评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,601评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,220评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,416评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,425评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,144评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,432评论 3 401
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,088评论 0 261
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,586评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,028评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,137评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,783评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,343评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,333评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,559评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,595评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,901评论 2 345

推荐阅读更多精彩内容

  • 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    Yaoxue9阅读 1,286评论 0 6
  • 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    HeroXin阅读 831评论 0 4
  • 什么是跨域 跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实...
    他方l阅读 1,059评论 0 2
  • <转>详解跨域(最全的解决方案) 什么是跨域跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,...
    涅槃快乐是金阅读 4,696评论 0 3
  • 题目1.什么是同源策略? 同源策略(Same origin Policy): 浏览器出于安全方面的考虑,只允许与本...
    FLYSASA阅读 1,709评论 0 6