标签:http 跨域 实现 window iframe var 原理 name
跨域受浏览器同源策略的限制,本域的js不能操作其他域的页面对象(比如DOM)。但在安全限制的同时也给注入iframe或是ajax应用上带来了不少麻烦。所以我们要通过一些方法使本域的js能够操作其他域的页面对象或者使其他域的js能操作本域的页面对象(iframe之间)。
这里需要明确的一点是:所谓的域跟js的存放服务器没有关系,比如baidu.com的页面加载了google.com的js,那么此js的所在域是baidu.com而不是google.com。也就是说,此时该js能操作baidu.com的页面对象,而不能操作google.com的页面对象。
一、JSONP
- JSONP是一种非正式传输协议,该协议的一个要点就是允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据
- JSONP本身就是一个get请求,而script节点本身也是一个get请求,这个思想是通过后端的配合(后端输出的 response text必须符合js语法)更好的利用了get请求而已。 而前端封装一个方法,通过这个方法把请求注册的回调指向全局的一个具名函数,同时把具名函数的函数名和参数通过get请求传递给后端而已。
-
JSON 和JSONP:
http://www.cnblogs.com/dowinning/archive/2012/04/19/json-jsonp-jquery.html
1、一个众所周知的问题,Ajax直接请求普通文件存在跨域无权限访问的问题,甭管你是静态页面、动态网页、web服务、WCF,只要是跨域请求,一律不准;
2、不过我们又发现,Web页面上调用js文件时则不受是否跨域的影响(不仅如此,我们还发现凡是拥有”src”这个属性的标签都拥有跨域的能力,比如<script>、<img>、<iframe>
);
3、于是可以判断,当前阶段如果想通过纯web端(ActiveX控件、服务端代理、属于未来的HTML5之Websocket等方式不算)跨域访问数据就只有一种可能,那就是在远程服务器上设法把数据装进js格式的文件里,供客户端调用和进一步处理;
4、恰巧我们已经知道有一种叫做JSON的纯字符数据格式可以简洁的描述复杂数据,更妙的是JSON还被js原生支持,所以在客户端几乎可以随心所欲的处理这种格式的数据;
5、这样子解决方案就呼之欲出了,web客户端通过与调用脚本一模一样的方式,来调用跨域服务器上动态生成的js格式文件(一般以JSON为后缀),显而易见,服务器之所以要动态生成JSON文件,目的就在于把客户端需要的数据装入进去。
6、客户端在对JSON文件调用成功之后,也就获得了自己所需的数据,剩下的就是按照自己需求进行处理和展现了,这种获取远程数据的方式看起来非常像AJAX,但其实并不一样。
7、为了便于客户端使用数据,逐渐形成了一种非正式传输协议,人们把它称作JSONP,该协议的一个要点就是允许用户传递一个callback参数给服务端,然后服务端返回数据时会将这个callback参数作为函数名来包裹住JSON数据,这样客户端就可以随意定制自己的函数来自动处理返回数据 -
JSONP:
$.ajax({ type: "get", async: false, url: "http://flightQuery.com/jsonp/flightResult.aspx?code=CA1998", dataType: "jsonp", jsonp: "callback",//传递给请求处理程序或页面的,用以获得jsonp回调函数名的参数名(一般默认为:callback) jsonpCallback:"flightHandler",//自定义的jsonp回调函数名称,默认为jQuery自动生成的随机函数名,也可以写"?",jQuery会自动为你处理数据 success: function(json){ alert('您查询到航班信息:票价: ' + json.price + ' 元,余票: ' + json.tickets + ' 张。'); }, error: function(){ alert('fail'); } });
二、跨域方式
- 5种基本方式:
http://blog.csdn.net/xiaobianjava/article/details/53489576
-
同域(同源)
:如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin)1.jsonp
-
function jsonp_cb(data) { console.log(data); } function ajax(){ var url = "http://xx.com/test.PHP?jsonp_callback=jsonp_cb"; var script = document.createElement('script'); // 发送请求 script.src = url; document.head.appendChild(script); } ajax() 服务端获取到jsonp_callback传递的函数名jsonp_cb,返回一段对该函数调用的js代码 jsonp_cb({ "name": "story" });
2.img标签也是没有跨域限制的,但它只能用来发送GET请求,且无法获取服务端的响应文本,可以利用它实现一些简单的、单向的跨域通信,例如跟踪用户的点击
var img = new Image(); img.onload = function(){ console.log('done') img.onload = null; img = null; } img.src = "http://xx/xx.gif"
3.window.name
window对象拥有name属性,它有一个特点:相同协议下,在一个页面中,不随URL的改变而改变 示例代码 window.name = 'string' // 字符串,一般允许的最大值为2M console.log(window.name) location = 'http://funteas.com/' 此时,在控制台输入window.name,结果依然是”string” window.name // "string" window.name的值只能是字符串,任何其他类型的值都会“转化”为字符串 例如 window.name = function(){} console.log(window.name) // "function(){}" 通过window.name实现跨域也很简单,iframe拥有contentWindow属性,其指向该iframe的window对象的引用,如果在iframe的src指向的页面中设置window.name值,那么就可以通过iframe.contentWindow.name就可以拿到这个值了 var url = "http://funteas.com/lab/windowName"; var iframe = document.createElement('iframe') iframe.onload = function(){ var data = iframe.contentWindow.name console.log(data) } iframe.src = url document.body.appendChild(iframe) 然而,chrome会提示你跨域了! 而我们已经知道window.name不随URL的改变而改版,也就是说,onload时,已经获取到了name,只不过因为不同源,当前页面的脚本无法拿到iframe.contentWindow.name,此时只需要把iframe.src改为同源即可 var url = "http://funteas.com/lab/windowName"; var iframe = document.createElement('iframe') iframe.onload = function(){ iframe.src = 'favicon.ico'; var data = iframe.contentWindow.name console.log(data) } iframe.src = url document.body.appendChild(iframe) 刷新页面,你会发现iframe不断刷新,这是因为每次onload,iframe的src被修改,然后再次触发onload,从而导致iframe循环刷新,修改下即可 var url = "http://funteas.com/lab/windowName"; var iframe = document.createElement('iframe') var state = true; iframe.onload = function(){ if(state === true){ iframe.src = 'favicon.ico'; state = false; }else if(state === false){ state = null var data = iframe.contentWindow.name console.log(data) } } iframe.src = url document.body.appendChild(iframe) 上面请求的是一个静态页面,而服务端通常需要的是动态数据 echo '<script> window.name = "{\"name\":\"story\"}"</script>';
4.postMessage
postMessage允许不同源之间的脚本进行通信,用法 otherWindow.postMessage(message, targetOrigin); otherWindow 引用窗口 iframe.contentwindow 或 window.open返回的对象 message 为要传递的数据 targetOrigin 为目标源 // http://127.0.0.1:80 var iframe = document.createElement('iframe') iframe.onload = function(){ var popup = iframe.contentWindow popup.postMessage("hello", "http://127.0.0.1:5000"); } iframe.src = 'http://127.0.0.1:5000/lab/postMessage' document.body.appendChild(iframe) // 监听返回的postMessage window.addEventListener("message", function(event){ if (event.origin !== "http://127.0.0.1:5000") return; console.log(event.data) }, false) // http://127.0.0.1:5000/lab/postMessage window.addEventListener("message", function(event){ // 验证消息来源 if (event.origin !== "http://127.0.0.1") return; console.log(event.source); // 消息源 popup console.log(event.origin); // 消息源URI https://secure.example.NET console.log(event.data); // 来自消息源的数据 hello // 返回数据 var message = 'world'; event.source.postMessage(message, event.origin); }, false);
- CORS
CORS(跨域资源共享)是一种跨域访问的机制,可以让AJAX实现跨域访问。它允许一个域上的脚本向另一个域提交跨域 AJAX 请求。实现此功能非常简单,只需由服务器发送一个响应标头即可。 Access-Control-Allow-Origin: * // 允许来自任何域的请求 Access-Control-Allow-Origin: http://funteas.com/ // 仅允许来自http://funteas.com/的请求 当客户端的ajax请求的url为其他域时,对于支持CORS的浏览器,请求头会自动添加Origin,值为当前host var xhr = new XMLHttpRequest(); var url = 'http://bar.other/resources/public-data/'; xhr.open('GET', url, true); xhr.send(); CORS默认不发送cookie,如果要发送cookie,需要设置withCredentials var xhr = new XMLHttpRequest(); xhr.withCredentials = true; 同时,服务端也要设置 Access-Control-Allow-Credentials: true 查看MDN关于CORS的介绍【https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS】
标签:http,跨域,实现,window,iframe,var,原理,name 来源: https://blog.51cto.com/u_15263565/2896323
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。