同源策略
1.浏览器同源策略
同源策略(Same Origin Policy,SOP)也叫单源策略(Single Origin Policy),
是一种用于Web浏览器编程语言(如JavaScript和Ajax)的安全措施,用于保护信息的机密性和完整性。
同源策略可防止网站的脚本访问其他网站上使用的脚本并与之交互。
2.同源的满足条件
满足同源条件,即网站的源(origin)要全部相同,在请求数据时,如果不同源,浏览器会在控制台中报一个异常,提示拒绝访问。
而源包括三要素:
1.协议相同,即浏览器协议,常见的如HTTP协议,HTTPS协议等,如果不是同一协议,则非同源。
2.域名相同,即使是同一网站的不同域名,也会视为非同源,如本地服务器localhost与127.0.0.1非同源。
3.端口相同,最简单的例子也是本地服务器,localhost:8000与localhost:8080即端口不同因此非同源。
跨域
当两个网址非同源时在请求数据时,如果不同源,浏览器会在控制台中报一个异常,提示拒绝访问。
因此我们要进行跨域处理来获得需要的数据,而跨域通常有一下几种方式:
CORS
CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种ajax请求资源的方式,限制必须是IE10以上。
AJAX的扩展,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin;
后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin;
浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,
这时我们无法拿到响应数据。一下的Ajax是最常见的CORS方式:
function getData(){ var xhr =new XMLHttpRequest()
xhr.open ('GET', 'http://localhost:8080/getData', true)
xhr.send()
xhr.onload = function(){
appendHtml(JSON.parse(xhr.responseText))
} }
JSONP
利用<script>标签没有跨域限制的“漏洞”来达到与第三方通讯的目的。
当需要通讯时,本站脚本创建一个<script>元素,地址指向第三方的API网址,并提供一个回调函数来接收数据(函数名可约定,或通过地址参数传递)。
第三方产生的响应为json数据的包装,即JSON with Padding。
以下script标签即JSONP的格式
<script src="http://api.jirengu.com/weather.php?callback=showData"></script>
降域
降域仍是解决跨域问题的一种方案,通过双向设置 document.domain 的值,解决主域名下的跨域问题。
比如,有两个二级域名:a.yang.com 和 b.yang.com,可通过设定 document.domain 的值为主域名:yang.com 的方式,突破浏览器的同源策略限制,来获取和操作对方的元素。而其中,document.domain ='yang.com'即降域的形式。
postMessage
postMessage 是 HTML5 中新增方法,可实现跨域通信;
postMessage 并不是向服务器读写资源,只是向外发送消息而已;可以把它当做使用手机发送短信消息,仅此而已。
也就是:A 页面向 B 页面发送了一条消息,B 页面会接受到该消息,如果 B 页面需要该消息,则监听 message;否则无需关心该消息。
