ajax之面试必问跨域问题

ajax之面试必问跨域问题，若是你知道jsonp就弱爆了，往深处稍微问那么一丢丢，你就会被虐的万劫不复...我的总结ajax：

一、什么是跨域
二、document.domain+iframe的设置
三、动态建立script
四、利用iframe和location.hash
五、window.name实现的跨域数据传输
六、使用HTML5 postMessage
七、利用flash

一、跨域是有浏览器的同源策略引发的（必定要记住通同源策略引发的）

---

同源策略：同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，若是缺乏了同源策略，则浏览器的正常功能可能都会受到影响。能够说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。所谓同源是指，域名，协议，端口相同。不一样源的客户端脚本(javascript、ActionScript)在没明确受权的状况下，不能读写对方的资源。
看看下面的表格，分析下主域名和子域名，跨域和IP是不一样的，详见表格吧~

二、document.domain+iframe的设置

对于主域相同而子域不一样的例子，能够经过设置document.domain的办法来解决。具体的作法是能够在http://www.a.com/a.html和http://script.a.com/b.html两个文件中分别加上document.domain = ‘a.com’；而后经过a.html文件中建立一个iframe，去控制iframe的contentDocument，这样两个js文件之间就能够“交互”了。固然这种办法只能解决主域相同而二级域名不一样的状况，若是你异想天开的把script.a.com的domian设为alibaba.com那显然是会报错地！代码以下：
www.a.com上的a.html

document.domain = 'a.com';
var ifr = document.createElement('iframe');
ifr.src = 'http://script.a.com/b.html';
ifr.style.display = 'none';
document.body.appendChild(ifr);
ifr.onload = function(){
    var doc = ifr.contentDocument || ifr.contentWindow.document;
    // 在这里操纵b.html
    alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue);
};

script.a.com上的b.html

document.domain = 'a.com';

这种方式适用于{www.kuqin.com, kuqin.com, script.kuqin.com, css.kuqin.com}中的任何页面相互通讯。

备注：某一页面的domain默认等于window.location.hostname。主域名是不带www的域名，例如a.com，主域名前面带前缀的一般都为二级域名或多级域名，例如www.a.com实际上是二级域名。 domain只能设置为主域名，不能够在b.a.com中将domain设置为c.a.com。

问题：
一、安全性，当一个站点（b.a.com）被攻击后，另外一个站点（c.a.com）会引发安全漏洞。
二、若是一个页面中引入多个iframe，要想可以操做全部iframe，必须都得设置相同domain。

二、动态建立script

虽然浏览器默认禁止了跨域访问，但并不由止在页面中引用其余域的JS文件，并能够自由执行引入的JS文件中的function（包括操做cookie、Dom等等）。根据这一点，能够方便地经过建立script节点的方法来实现彻底跨域的通讯。具体的作法能够参考YUI的Get Utility

这里判断script节点加载完毕仍是蛮有意思的：ie只能经过script的readystatechange属性，其它浏览器是script的load事件。如下是部分判断script加载完毕的方法。

js.onload = js.onreadystatechange = function() {
    if (!this.readyState || this.readyState === 'loaded' || this.readyState === 'complete') {
        // callback在此处执行
        js.onload = js.onreadystatechange = null;
    }
};

利用iframe和location.hash

这个办法比较绕，可是能够解决彻底跨域状况下的脚步置换问题。原理是利用location.hash来进行传值。在url： http://a.com#helloword中的‘#helloworld’就是location.hash，改变hash并不会致使页面刷新，因此能够利用hash值来进行数据传递，固然数据容量是有限的。假设域名a.com下的文件cs1.html要和cnblogs.com域名下的cs2.html传递信息，cs1.html首先建立自动建立一个隐藏的iframe，iframe的src指向cnblogs.com域名下的cs2.html页面，这时的hash值能够作参数传递用。cs2.html响应请求后再将经过修改cs1.html的hash值来传递数据（因为两个页面不在同一个域下IE、Chrome不容许修改parent.location.hash的值，因此要借助于a.com域名下的一个代理iframe；Firefox能够修改）。同时在cs1.html上加一个定时器，隔一段时间来判断location.hash的值有没有变化，一点有变化则获取获取hash值。代码以下：

先是a.com下的文件cs1.html文件：

function startRequest(){
    var ifr = document.createElement('iframe');
    ifr.style.display = 'none';
    ifr.src = 'http://www.cnblogs.com/lab/cscript/cs2.html#paramdo';
    document.body.appendChild(ifr);
}

function checkHash() {
    try {
        var data = location.hash ? location.hash.substring(1) : '';
        if (console.log) {
            console.log('Now the data is '+data);
        }
    } catch(e) {};
}
setInterval(checkHash, 2000);

cnblogs.com域名下的cs2.html:

//模拟一个简单的参数处理操做
switch(location.hash){
    case '#paramdo':
        callBack();
        break;
    case '#paramset':
        //do something……
        break;
}

function callBack(){
    try {
        parent.location.hash = 'somedata';
    } catch (e) {
        // ie、chrome的安全机制没法修改parent.location.hash，
        // 因此要利用一个中间的cnblogs域下的代理iframe
        var ifrproxy = document.createElement('iframe');
        ifrproxy.style.display = 'none';
        ifrproxy.src = 'http://a.com/test/cscript/cs3.html#somedata';    // 注意该文件在"a.com"域下
        document.body.appendChild(ifrproxy);
    }
}

a.com下的域名cs3.html

//由于parent.parent和自身属于同一个域，因此能够改变其location.hash的值
parent.parent.location.hash = self.location.hash.substring(1);

四、window.name实现的跨域数据传输

五、使用HTML5 postMessage

六、利用flash

详细的介绍请查看http://www.cnblogs.com/rainman/archive/2011/02/20/1959325.html#m3此连接