跨域的几种方法

概念:只要协议、域名、端口有任何一个不同,都被当作是不同的域。

  • 所有具有 src 属性的HTML标签都可以跨域

原理:所有具有src属性的HTML标签都是可以跨域的,包括img标签和script标签

类似image标签和iframe标签,像image标签在更改src属性时会发送请求,可以达到统计的效果.而script, iframe,只有在添加到DOM树之后才会发送HTTP请求      

    var img = new Image();      
    img.src = 'http://some/picture'; // 发送HTTP请求
    var ifr = $('<iframe>', {src: 'http://b.a.com/bar'});
    $('body').append(ifr); // 发送HTTP请求

    
**限制:需要创建一个DOM对象,只能用于GET方法**

**场景:适用于做统计需求时,有后台做开发资源的情况**。
  • 使用window.name来进行跨域

window.name在不同的页面(甚至不同域名)加载后依旧存在(如果没修改则值不会变化),并且可以支持非常长的 name 值(2MB)

首先插入iframe 其src属性指向服务器文件地址(利用iframe标签的跨域能力),服务器文件里设置好window.name的值(也就是该iframe的contentWindow的name值),然后在index.html里读取该iframe的window.name值。服务端可以输出类似这样的js

``

window.name = "{"name":"hanzichi", "age":10}";
``

这样可以达到跨域获取资源的目的。

**限制:不支持其他页面不能配合修改的情况**

**场景:适用于指服务器文件可以配合开发的情况**
  • document.domain+iframe的设置来跨子域

适用于主域相同,子域不同情况。
例如在a.xxx.com/a.html 和 b.xxx.com/b.html中,都设置document.domain = 'xxx.com';

`document.domain = 'xxx.com'`

再在a.html中插入iframe,src为b.html的链接
此时可以在iframe的onload方法里调用b.html的dom,
达到跨域的效果

**限制:安全性不足,当a.html被攻击后,b.html也可能受影响**

**场景:适用于跨子域的情况,并且两个页面都需要修改,好处是没有后台开发资源**
  • jsonp(动态插入script)

    浏览器默认禁止了跨域访问,但并不禁止在页面中引用其他域的JS文件.

    JSONP,允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据。

    相当于本地函数被跨域的远程js调用,callback大概如下,里面相当于传回的data

    callback({message:"success"})

    限制:

    • 需要创建一个DOM对象并且添加到DOM树,只能用于GET方法

    • 有被攻击的可能,类似于 csrf(cross site request forgery) ,可以通过加token验证的方式来规避风险.

**场景:适用于有后台开发资源,对方页面不可以修改的情况,需要前后端都规定好写法,   不受浏览器兼容性的影响**

*注意: ajax和jsonp其实本质上是不同的东西。ajax的核心是通过XmlHttpRequest获取非本页内容,而jsonp的核心则是动态添加script标签来调用服务器提供的js脚本。*
  • HTML5 postMessage

postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。

在一个页面里调用``postMessage(data,origin)``

data指传送的数据,origin指目标窗口的源,在另一个页面里监听window的message事件

window.addEventListener('message',function(){...})

限制:注意IE8及小于IE8的版本不支持addEventListener,浏览器需要支持HTML5,受浏览器影响

**场景:适用于两个页面都可以修改,好处是不需要后台开发资源**
  • 跨域资源共享(CORS)

    原理:服务器设置Access-Control-Allow-OriginHTTP响应头之后,浏览器将会允许跨域请求。

    支持其他的HTTP方法如PUT, POST等,可以从本质上解决跨域问题。

    请求资源时需服务器设置资源的Access-Control-Allow-OriginHTTP响应头

          Access-Control-Allow-Origin: *              # 允许所有域名访问,或者
          Access-Control-Allow-Origin: http://a.com   # 只允许a域名访问  
    

    限制:浏览器需要支持HTML5

    场景:使用于服务器资源可以配合修改响应头的情况


现在主要使用jsonp,但是跨域的正道还是要推荐HTML5提供的CORS头字段以及window.postMessage, 可以支持POST, PUT等HTTP方法,从机制上解决跨域问题。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,033评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,725评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,473评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,846评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,848评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,691评论 1 282
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,053评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,700评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,856评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,676评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,787评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,430评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,034评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,990评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,218评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,174评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,526评论 2 343

推荐阅读更多精彩内容