iframe跨域的几种经常使用方法

• 苏格团队
• 做者：Brady

背景

随着业务的发展，天然地会有一些公共的业务被抽离成为公共组件共各个项目使用。可是因为各个项目用到的技术栈都有所不一样，因此这个公共组件就不能方便地被引用了。为解决这个问题，咱们把这个组件写成了单独的页面挂到一个域名下，其余项目采用iframe或者webview的方式去加载这个页面，从而实现功能的简单复用。
不过这过程当中也产生了不少问题，单是跨域就会出现好几回了。如下我将会介绍我遇到的跨域问题以及一些解决方法。

为何会跨域

为了保证用户信息的安全，95年的时候Netscape公司引进了同源策略，里面的同源指的是三个相同：协议、域名、端口。
违反了同源策略就会出现跨域问题，主要表现为如下三方面：

• 没法读取cookie、localStorage、indexDB
• DOM没法得到
• ajax请求没法发送

场景

最近在作一个需求，须要用iframe引入一个别人封装好的相似视频播放器的东西。iframe里面有一个全屏的按钮，点击后须要页面让iframe全屏，因为受到同源策略的限制，iframe没法告诉页面全屏。

解决办法

设置domain

document.domain做用是获取/设置当前文档的原始域部分，同源策略会判断两个文档的原始域是否相同来判断是否跨域。这意味着只要把这个值设置成同样就能够解决跨域问题了。
在此我将domain设置为一级域名的值，a页面url为a.demo.com，a页面中iframe引用的b页面url为b.demo.com，具体设置为

document.domain = 'demo.com'
复制代码

设置完以后，在a页面的window上挂载使iframe全屏的方法

// a页面
window.toggleFullScreen = () => {
    // do something
}
复制代码

在b页面上能够直接获取到a页面的window对象并直接调用

// b页面
window.parent.toggleFullScreen()
复制代码

可是这个值的设置也有必定限制，只能设置为当前文档的上一级域或者是跟该文档的URL的domain一致的值。如url为a.demo.com，那domain就只能设置为demo.com或者a.demo.com。所以，设置domain的方法只能用于解决主域相同而子域不一样的状况。

使用中间页面

咱们还可使用一个与a页面同域名但不一样路由的c页面做为中间页面，b页面加载c页面，c页面调用a页面的方法，从而实现b页面调用a页面的方法。具体操做以下：
在a页面的node层新开一个路由，此路由加载一个c页面做为中间页面，c页面的url为a.demo.com/c。c页面只是一个简单的html页面，在window的onload事件上调用了a页面的方法。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title></title>
</head>
<body>
    <script>
        window.onload = function () {
            parent.parent.toggleFullScreen();
        }
    </script>
</body>
</html>
复制代码

因为c页面和a页面是符合同源策略的，因此能够避开跨域问题，执行全屏的方法。

postmessage

window.postMessage方法能够安全地实现跨源通讯，写明目标窗口的协议、主机地址或端口就能够发信息给它。

// b页面
parent.postMessage(
    value,
    "http://a.demo.com"
);
复制代码

// a页面
window.addEventListener("message", function( event ) {
    if (event.origin !== 'http://b.demo.com') return;
    toggleFullScreen()
 });
复制代码

为了安全，收到信息后要检测下event.origin判断是否要收信息的窗口发过来的。

总结

经过以上的方法，咱们就能够和iframe自由通讯啦。