概念:只要协议、域名、端口有任何一个不同,都被当作是不同的域。
-
所有具有 src 属性的HTML标签都可以跨域
原理:所有具有src属性的HTML标签都是可以跨域的,包括img标签和script标签
类似image标签和iframe标签,像image标签在更改src属性时会发送请求,可以达到统计的效果.而script, iframe,只有在添加到DOM树之后才会发送HTTP请求
var img = new Image();
img.src = 'http://some/picture'; // 发送HTTP请求
var ifr = $('<iframe>', {src: 'http://b.a.com/bar'});
$('body').append(ifr); // 发送HTTP请求
**限制:需要创建一个DOM对象,只能用于GET方法**
**场景:适用于做统计需求时,有后台做开发资源的情况**。
-
使用window.name来进行跨域
window.name在不同的页面(甚至不同域名)加载后依旧存在(如果没修改则值不会变化),并且可以支持非常长的 name 值(2MB)
首先插入iframe 其src属性指向服务器文件地址(利用iframe标签的跨域能力),服务器文件里设置好window.name的值(也就是该iframe的contentWindow的name值),然后在index.html里读取该iframe的window.name值。服务端可以输出类似这样的js
``
window.name = "{"name":"hanzichi", "age":10}";
``
这样可以达到跨域获取资源的目的。
**限制:不支持其他页面不能配合修改的情况**
**场景:适用于指服务器文件可以配合开发的情况**
-
document.domain+iframe的设置来跨子域
适用于主域相同,子域不同情况。
例如在a.xxx.com/a.html 和 b.xxx.com/b.html中,都设置document.domain = 'xxx.com';
`document.domain = 'xxx.com'`
再在a.html中插入iframe,src为b.html的链接
此时可以在iframe的onload方法里调用b.html的dom,
达到跨域的效果
**限制:安全性不足,当a.html被攻击后,b.html也可能受影响**
**场景:适用于跨子域的情况,并且两个页面都需要修改,好处是没有后台开发资源**
-
jsonp(动态插入script)
浏览器默认禁止了跨域访问,但并不禁止在页面中引用其他域的JS文件.
JSONP,允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据。
相当于本地函数被跨域的远程js调用,callback大概如下,里面相当于传回的data
callback({message:"success"})
限制:
需要创建一个DOM对象并且添加到DOM树,只能用于GET方法
有被攻击的可能,类似于 csrf(cross site request forgery) ,可以通过加token验证的方式来规避风险.
**场景:适用于有后台开发资源,对方页面不可以修改的情况,需要前后端都规定好写法, 不受浏览器兼容性的影响**
*注意: ajax和jsonp其实本质上是不同的东西。ajax的核心是通过XmlHttpRequest获取非本页内容,而jsonp的核心则是动态添加script标签来调用服务器提供的js脚本。*
-
HTML5 postMessage
postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。
在一个页面里调用``postMessage(data,origin)``
data指传送的数据,origin指目标窗口的源,在另一个页面里监听window的message事件
window.addEventListener('message',function(){...})
限制:注意IE8及小于IE8的版本不支持addEventListener,浏览器需要支持HTML5,受浏览器影响
**场景:适用于两个页面都可以修改,好处是不需要后台开发资源**
-
跨域资源共享(CORS)
原理:服务器设置Access-Control-Allow-OriginHTTP响应头之后,浏览器将会允许跨域请求。
支持其他的HTTP方法如PUT, POST等,可以从本质上解决跨域问题。
请求资源时需服务器设置资源的Access-Control-Allow-OriginHTTP响应头
Access-Control-Allow-Origin: * # 允许所有域名访问,或者 Access-Control-Allow-Origin: http://a.com # 只允许a域名访问
限制:浏览器需要支持HTML5
场景:使用于服务器资源可以配合修改响应头的情况