首頁 > 開發者 > JavaScript
本文來自網路(http://f2e.me/200904/cross-scripting/,該網址已不能訪問),僅作個人讀書筆記之用,並稍作修改和補充。
什麼是跨域JavaScript出於安全方面的考慮,不允許跨域調用其他頁面的對象。但在安全限制的同時也給注入iframe或是ajax應用上帶來了不少麻煩。這裡把涉及到跨域的一些問題簡單地整理一下:
首先什麼是跨域,簡單地理解就是因為JavaScript同源策略的限制,a.com 網域名稱下的js無法操作b.com或是c.a.com網域名稱下的對象。更詳細的說明可以看下錶:
| URL | 說明 | 是否允許通訊 |
|---|---|---|
| http://www.a.com/a.js http://www.a.com/b.js |
同一網域名稱下 | 允許 |
| http://www.a.com/lab/a.js http://www.a.com/script/b.js |
同一網域名稱下不同檔案夾 | 允許 |
| http://www.a.com:8000/a.js http://www.a.com/b.js |
同一網域名稱,不同連接埠 | 不允許 |
| http://www.a.com/a.js https://www.a.com/b.js |
同一網域名稱,不同協議 | 不允許 |
| http://www.a.com/a.js http://70.32.92.74/b.js |
網域名稱和網域名稱對應ip | 不允許 |
| http://www.a.com/a.js http://script.a.com/b.js |
主域相同,子域不同 | 不允許 |
| http://www.a.com/a.js http://a.com/b.js |
同一網域名稱,不同次層網域(同上) | 不允許(cookie這種情況下也不允許訪問) |
| http://www.cnblogs.com/a.js http://www.a.com/b.js |
不同網域名稱 | 不允許 |
接下來簡單地總結一下在“前台”一般處理跨域的辦法,後台proxy這種方案牽涉到後台配置,這裡就不闡述了,有興趣的可以看看yahoo的這篇文章:《JavaScript: Use a Web Proxy for Cross-Domain XMLHttpRequest Calls》
1、document.domain+iframe的設定對於主域相同而子域不同的例子,可以通過設定document.domain的辦法來解決。具體的做法是可以在http://www.a.com/a.html和http://script.a.com/b.html兩個檔案中分別加上document.domain = ‘a.com’;然後通過a.html檔案中建立一個iframe,去控制iframe的contentDocument,這樣兩個js檔案之間就可以“互動”了。當然這種辦法只能解決主域相同而次層網域不同的情況,如果你異想天開的把script.a.com的domian設為alibaba.com那顯然是會報錯地!代碼如下:
www.a.com上的a.html
document.domain = 'a.com';var ifr = document.createElement('iframe');ifr.src = 'http://script.a.com/b.html';ifr.style.display = 'none';document.body.appendChild(ifr);ifr.onload = function(){ var doc = ifr.contentDocument || ifr.contentWindow.document; // 在這裡操縱b.html alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue);};
script.a.com上的b.html
document.domain = 'a.com';
這種方式適用於{www.kuqin.com, kuqin.com, script.kuqin.com, css.kuqin.com}中的任何頁面相互連信。
備忘:某一頁面的domain預設等於window.location.hostname。主網域名稱是不帶www的網域名稱,例如a.com,主網域名稱前面帶首碼的通常都為次層網域或多級網域名稱,例如www.a.com其實是次層網域。
domain只能設定為主網域名稱,不可以在b.a.com中將domain設定為c.a.com。
雖然瀏覽器預設禁止了跨域訪問,但並不禁止在頁面中引用其他域的JS檔案,並可以自由執行引入的JS檔案中的function(包括操作cookie、Dom等等)。根據這一點,可以方便地通過建立script節點的方法來實現完全跨域的通訊。具體的做法可以參考YUI的Get Utility
這裡判斷script節點載入完畢還是蠻有意思的:ie只能通過script的readystatechange屬性,其它瀏覽器是script的load事件。以下是部分判斷script載入完畢的方法。
js.onload = js.onreadystatechange = function() { if (!this.readyState || this.readyState === 'loaded' || this.readyState === 'complete') { // callback在此處執行 js.onload = js.onreadystatechange = null; }};3、利用iframe和location.hash
這個辦法比較繞,但是可以解決完全跨域情況下的腳步置換問題。原理是利用location.hash來進行傳值。在url: http://a.com#helloword中的‘#helloworld’就是location.hash,改變hash並不會導致頁面重新整理,所以可以利用hash值來進行資料傳遞,當然資料容量是有限的。假設網域名稱a.com下的檔案cs1.html要和cnblogs.com網域名稱下的cs2.html傳遞資訊,cs1.html首先建立自動建立一個隱藏的iframe,iframe的src指向cnblogs.com網域名稱下的cs2.html頁面,這時的hash值可以做參數傳遞用。cs2.html響應請求後再將通過修改cs1.html的hash值來傳遞資料(由於兩個頁面不在同一個域下IE、Chrome不允許修改parent.location.hash的值,所以要藉助於a.com網域名稱下的一個代理iframe;Firefox可以修改)。同時在cs1.html上加一個定時器,隔一段時間來判斷location.hash的值有沒有變化,一點有變化則擷取擷取hash值。代碼如下:
先是a.com下的檔案cs1.html檔案:
function startRequest(){ var ifr = document.createElement('iframe'); ifr.style.display = 'none'; ifr.src = 'http://www.cnblogs.com/lab/cscript/cs2.html#paramdo'; document.body.appendChild(ifr);}function checkHash() { try { var data = location.hash ? location.hash.substring(1) : ''; if (console.log) { console.log('Now the data is '+data); } } catch(e) {};}setInterval(checkHash, 2000);
cnblogs.com網域名稱下的cs2.html:
//類比一個簡單的參數處理操作switch(location.hash){ case '#paramdo': callBack(); break; case '#paramset': //do something…… break;}function callBack(){ try { parent.location.hash = 'somedata'; } catch (e) { // ie、chrome的安全機制無法修改parent.location.hash, // 所以要利用一個中間的cnblogs域下的代理iframe var ifrproxy = document.createElement('iframe'); ifrproxy.style.display = 'none'; ifrproxy.src = 'http://a.com/test/cscript/cs3.html#somedata'; // 注意該檔案在"a.com"域下 document.body.appendChild(ifrproxy); }}
a.com下的網域名稱cs3.html
//因為parent.parent和自身屬於同一個域,所以可以改變其location.hash的值parent.parent.location.hash = self.location.hash.substring(1);
當然這樣做也存在很多缺點,諸如資料直接暴露在了url中,資料容量和類型都有限等……
4、window.name實現的跨域資料轉送文章較長列在此處不便於閱讀,詳細請看 window.name實現的跨域資料轉送。
5、使用HTML5 postMessageHTML5中最酷的新功能之一就是 跨文檔訊息傳輸Cross Document Messaging。下一代瀏覽器都將支援這個功能:Chrome 2.0+、Internet Explorer 8.0+, Firefox 3.0+, Opera 9.6+, 和 Safari 4.0+ 。 Facebook已經使用了這個功能,用postMessage支援基於web的即時訊息傳遞。
a.com/index.html中的代碼:
<iframe id="ifr" src="b.com/index.html"></iframe><script type="text/javascript">window.onload = function() { var ifr = document.getElementById('ifr'); var targetOrigin = 'http://b.com'; // 若寫成'http://b.com/c/proxy.html'效果一樣 // 若寫成'http://c.com'就不會執行postMessage了 ifr.contentWindow.postMessage('I was there!', targetOrigin);};</script>
b.com/index.html中的代碼:
<script type="text/javascript"> window.addEventListener('message', function(event){ // 通過origin屬性判斷訊息來源地址 if (event.origin == 'http://a.com') { alert(event.data); // 彈出"I was there!" alert(event.source); // 對a.com、index.html中window對象的引用 // 但由於同源策略,這裡event.source不可以訪問window對象 } }, false);</script>
參考文章:《精通HTML5編程》第五章——跨文檔訊息機制、https://developer.mozilla.org/en/dom/window.postmessage
6、利用flash這是從YUI3的IO組件中看到的辦法,具體可見http://developer.yahoo.com/yui/3/io/。
可以看在Adobe Developer Connection看到更多的跨域代理檔案規格:ross-Domain Policy File Specifications、HTTP Headers Blacklist。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
