详解5种跨域方式及其原理
同源定义
若是两个页面拥有相同的协议(protocol),端口(若是指定),和主机,那么这两个页面就属于同一个源(origin)。javascript
如下是同源检测的示例php
| URL | 结果 | 缘由 |
|---|---|---|
| http://store.company.com/dir2/other.html | Success | |
| http://store.company.com/dir/inner/another.html | Success | |
| https://store.company.com/secure.html | Failure | 协议不一样 |
| http://store.company.com:81/dir/etc.html | Failure | 端口不一样 |
| http://news.company.com/dir/other.html | Failure | 主机不一样 |
1.jsonp
script标签是不受同源策略影响的,它能够引入来自任何地方的js文件。
而jsonp的原理就是,在客户端和服务端定义一个函数,当客户端发起一个请求时,服务端返回一段javascript代码,其中调用了在客户端定义的函数,并将相应的数据做为参数传入该函数。html
function jsonp_cb(data) {java
console.log(data);ajax
}chrome
function ajax(){json
var url = "http://xx.com/test.php?jsonp_callback=jsonp_cb";跨域
var script = document.createElement('script');浏览器
// 发送请求服务器
script.src = url;
document.head.appendChild(script);
}
ajax()
服务端获取到jsonp_callback传递的函数名jsonp_cb,返回一段对该函数调用的js代码
jsonp_cb({
"name": "story"
});
2.img ping
img标签也是没有跨域限制的,但它只能用来发送GET请求,且没法获取服务端的响应文本,能够利用它实现一些简单的、单向的跨域通讯,例如跟踪用户的点击
var img = new Image();
img.onload = function(){
console.log('done')
img.onload = null;
img = null;
}
img.src = "http://xx/xx.gif"
3.window.name
window对象拥有name属性,它有一个特色:相同协议下,在一个页面中,不随URL的改变而改变
示例代码
window.name = 'string' // 字符串,通常容许的最大值为2M
console.log(window.name)
location = 'http://funteas.com/'
此时,在控制台输入window.name,结果依然是”string”
window.name // "string"
window.name的值只能是字符串,任何其余类型的值都会“转化”为字符串
例如
window.name = function(){}
console.log(window.name)
// "function(){}"
经过window.name实现跨域也很简单,iframe拥有contentWindow属性,其指向该iframe的window对象的引用,若是在iframe的src指向的页面中设置window.name值,那么就能够经过iframe.contentWindow.name就能够拿到这个值了
var url = "http://funteas.com/lab/windowName";
var iframe = document.createElement('iframe')
iframe.onload = function(){
var data = iframe.contentWindow.name
console.log(data)
}
iframe.src = url
document.body.appendChild(iframe)
然而,chrome会提示你跨域了!
而咱们已经知道window.name不随URL的改变而改版,也就是说,onload时,已经获取到了name,只不过由于不一样源,当前页面的脚本没法拿到iframe.contentWindow.name,此时只须要把iframe.src改成同源便可
var url = "http://funteas.com/lab/windowName";
var iframe = document.createElement('iframe')
iframe.onload = function(){
iframe.src = 'favicon.ico';
var data = iframe.contentWindow.name
console.log(data)
}
iframe.src = url
document.body.appendChild(iframe)
刷新页面,你会发现iframe不断刷新,这是由于每次onload,iframe的src被修改,而后再次触发onload,从而致使iframe循环刷新,修改下便可
var url = "http://funteas.com/lab/windowName";
var iframe = document.createElement('iframe')
var state = true;
iframe.onload = function(){
if(state === true){
iframe.src = 'favicon.ico';
state = false;
}else if(state === false){
state = null
var data = iframe.contentWindow.name
console.log(data)
}
}
iframe.src = url
document.body.appendChild(iframe)
上面请求的是一个静态页面,而服务端一般须要的是动态数据
echo '<script> window.name = "{\"name\":\"story\"}"</script>';
4.postMessage
postMessage容许不一样源之间的脚本进行通讯,用法
otherWindow.postMessage(message, targetOrigin);
-
otherWindow 引用窗口 iframe.contentwindow 或 window.open返回的对象
-
message 为要传递的数据
-
targetOrigin 为目标源
// http://127.0.0.1:80
var iframe = document.createElement('iframe')
iframe.onload = function(){
var popup = iframe.contentWindow
popup.postMessage("hello", "http://127.0.0.1:5000");
}
iframe.src = 'http://127.0.0.1:5000/lab/postMessage'
document.body.appendChild(iframe)
// 监听返回的postMessage
window.addEventListener("message", function(event){
if (event.origin !== "http://127.0.0.1:5000") return;
console.log(event.data)
}, false)
// http://127.0.0.1:5000/lab/postMessage
window.addEventListener("message", function(event){
// 验证消息来源
if (event.origin !== "http://127.0.0.1") return;
console.log(event.source); // 消息源 popup
console.log(event.origin); // 消息源URI https://secure.example.net
console.log(event.data); // 来自消息源的数据 hello
// 返回数据
var message = 'world';
event.source.postMessage(message, event.origin);
}, false);
5.CORS
CORS(跨域资源共享)是一种跨域访问的机制,可让AJAX实现跨域访问。它容许一个域上的脚本向另外一个域提交跨域 AJAX 请求。实现此功能很是简单,只需由服务器发送一个响应标头便可。
Access-Control-Allow-Origin: * // 容许来自任何域的请求
Access-Control-Allow-Origin: http://funteas.com/ // 仅容许来自http://funteas.com/的请求
当客户端的ajax请求的url为其余域时,对于支持CORS的浏览器,请求头会自动添加Origin,值为当前host
var xhr = new XMLHttpRequest();
var url = 'http://bar.other/resources/public-data/';
xhr.open('GET', url, true);
xhr.send();
CORS默认不发送cookie,若是要发送cookie,须要设置withCredentials
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
同时,服务端也要设置
Access-Control-Allow-Credentials: true
查看MDN关于CORS的介绍【https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS】
以上是我使用过的跨域方式,其余方式诸如document.domain、flash等,由于没有用过,就再也不多做介绍,有兴趣的同窗能够本身了解下。
- 1. 四种JS跨域解决方案及其实现原理
- 2. webpack解决跨域及其原理
- 3. JS跨域(ajax跨域、iframe跨域)解决方法及原理详解(jsonp)
- 4. 前端多种跨域方式实现原理详解
- 5. 九种跨域方式实现原理
- 6. 「JavaScript」JS四种跨域方式详解
- 7. 跨域详解及其常见的解决方式
- 8. JSONP原理及实现跨域方式
- 9. jsonp 跨域原理详解
- 10. json跨域原理及解决方法
- 更多相关文章...
- • Hibernate的5种检索方式 - Hibernate教程
- • HQL的5种检索方式 - Hibernate教程
- • PHP Ajax 跨域问题最佳解决方案
- • Flink 数据传输及反压详解
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. js中 charCodeAt
- 2. Android中通过ViewHelper.setTranslationY实现View移动控制(NineOldAndroids开源项目)
- 3. 【Android】日常记录:BottomNavigationView自定义样式,修改点击后图片
- 4. maya 文件检查 ui和数据分离 (一)
- 5. eclipse 修改项目的jdk版本
- 6. Android InputMethod设置
- 7. Simulink中Bus Selector出现很多? ? ?
- 8. 【Openfire笔记】启动Mac版Openfire时提示“系统偏好设置错误”
- 9. AutoPLP在偏好标签中的生产与应用
- 10. 数据库关闭的四种方式