document.domain跨子域

时间 2019-11-08

标签 document.domain document domain 子域栏目 HTML 繁體版

原文原文链接

document.domain

用来获得当前网页的域名。
好比在地址栏里输入：

javascript:alert(document.domain); //www.315ta.com

咱们也能够给document.domain属性赋值，不过是有限制的，你只能赋成当前的域名或者基础域名。
好比：
javascript:alert(document.domain = "315ta.com"); //315ta.com
javascript:alert(document.domain = "www.315ta.com");//www.315ta.com

上面的赋值都是成功的，由于www.315ta.com是当前的域名，而315ta.com是基础域名。

可是下面的赋值就会出来"参数无效"的错误：
javascript:alert(document.domain = "cctv.net"); //参数无效
javascript:alert(document.domain = "ttt.315ta.com"); //参数无效

由于cctv.net与ttt.315tas.com不是当前的域名也不是当前域名的基础域名，因此会有错误出现。
这是为了防止有人恶意修改document.domain来实现跨域偷取数据。

利用document.domain实现跨域：
前提条件：这两个域名必须属于同一个基础域名!并且所用的协议，端口都要一致，不然没法利用document.domain进行跨域

Javascript出于对安全性的考虑，而禁止两个或者多个不一样域的页面进行互相操做。
相同域的页面在相互操做的时候不会有任何问题。

好比在：aaa.com的一个网页（a.html）里面利用iframe引入了一个bbb.com里的一个网页（b.html）。
这时在a.html里面能够看到b.html里的内容，可是却不能利用javascript来操做它。由于这两个页面属于不一样的域，在操做以前，js会检测两个页面的域是否相等，若是相等，就容许其操做，若是不相等，就会拒绝操做。
这里不可能把a.html与b.html利用JS改为同一个域的。由于它们的基础域名不相等。（强制用JS将它们改为相等的域的话会报跟上面同样的"参数无效错误。"）

因此若是在a.html里引入aaa.com里的另外一个网页，是不会有这个问题的，由于域相等。

有另外一种状况，两个子域名：
aaa.xxx.com
bbb.xxx.com

aaa里的一个网页（a.html）引入了bbb 里的一个网页（b.html），
这时a.html里一样是不能操做b.html里面的内容的。
由于document.domain不同，一个是aaa.xxx.com，另外一个是bbb.xxx.com。

这时咱们就能够经过Javascript，将两个页面的domain改为同样的，
须要在a.html里与b.html里都加入：

document.domain = "xxx.com";javascript

这样这两个页面就能够互相操做了。也就是实现了同一基础域名之间的"跨域"。css

对于主域相同而子域不一样的例子，能够经过设置document.domain的办法来解决。具体的作法是能够在http://www.a.com/a.html和http://script.a.com/b.html两个文件中分别加上document.domain = ‘a.com’；而后经过a.html文件中建立一个iframe，去控制iframe的contentDocument，这样两个js文件之间就能够“交互”了。固然这种办法只能解决主域相同而二级域名不一样的状况，若是你异想天开的把script.a.com的domian设为alibaba.com那显然是会报错地！代码以下：html

www.a.com上的a.htmljava

document.domain = 'a.com';
var ifr = document.createElement('iframe');
ifr.src = 'http://script.a.com/b.html';
ifr.style.display = 'none';
document.body.appendChild(ifr);
ifr.onload = function(){
    var doc = ifr.contentDocument || ifr.contentWindow.document;
    // 在这里操纵b.html
    alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue);
};

script.a.com上的b.htmlnode

document.domain = 'a.com';

这种方式适用于{www.kuqin.com, kuqin.com, script.kuqin.com, css.kuqin.com}中的任何页面相互通讯。跨域

备注：某一页面的domain默认等于window.location.hostname。主域名是不带www的域名，例如a.com，主域名前面带前缀的一般都为二级域名或多级域名，例如www.a.com实际上是二级域名。 domain只能设置为主域名，不能够在b.a.com中将domain设置为c.a.com。安全

问题：: 一、安全性，当一个站点（b.a.com）被攻击后，另外一个站点（c.a.com）会引发安全漏洞。; 二、若是一个页面中引入多个iframe，要想可以操做全部iframe，必须都得设置相同domain。