JS跨域筆記

標籤：bsp   str   可靠   內容   href   load   images   padding   隱藏   

什麼是跨域，跨域是指不同域之間相互訪問，只要協議、網域名稱、連接埠有任何一個不同，都被當作是不同的域。

對於連接埠和協議的不同，只能通過後台來解決，前台是無能為力的。

受瀏覽器同源策略的限制，本域的js不能操作其他域的頁面對象（比如DOM）。同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，

這裡需要明確的一點是：所謂的域跟js的存放伺服器沒有關係，比如baidu.com的頁面載入了google.com的js，那麼此js的所在域是baidu.com而不是google.com。也就是說，此時該js能操作baidu.com的頁面對象，而不能操作google.com的頁面對象。

1 跨域資源共用（CORS）

CROS（Cross-Origin Resource Sharing）跨域資源共用，定義了必須在訪問跨域資源時，瀏覽器與伺服器應該如何溝通。CROS背後的基本思想就是使用自訂的HTTP頭部讓瀏覽器與伺服器進行溝通，從而決定請求或響應是應該成功還是失敗。

var xmlhttp;if (window.XMLHttpRequest)  {// code for IE7+, Firefox, Chrome, Opera, Safari  xmlhttp=new XMLHttpRequest();  }else  {// code for IE6, IE5  xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");  }xmlhttp.onreadystatechange=function()  {  if (xmlhttp.readyState==4 && xmlhttp.status==200)    {    document.getElementById("myDiv").innerHTML=xmlhttp.responseText;    }  }xmlhttp.open("GET","www.ggggg.com",true);xmlhttp.send();

在open的網址中輸入絕對路徑就是CORS。

伺服器端對於CORS的支援，主要就是通過設定Access-Control-Allow-Origin來進行的。如果瀏覽器檢測到相應的設定，就可以允許Ajax進行跨域的訪問。是不是很方便呢

2 jsonp跨域

那麼問題來了 什麼是jsonp? 維基百科的定義是：JSONP（JSON with Padding）是資料格式 JSON 的一種“使用模式”，可以讓網頁從別的網域要資料。

JSONP也叫填充式JSON，是應用JSON的一種新方法.只不過是被包含在函數調用中的JSON.

JSONP由兩部分組成：回呼函數和資料。回呼函數是當響應到來時應該在頁面中調用的函數，而資料就是傳入回呼函數中的JSON資料。

在js中，我們直接用XMLHttpRequest請求不同域上的資料時，是不可以的。但是，在頁面上引入不同域上的js指令檔卻是可以的，jsonp正是利用這個特性來實現的。

比如，有個a.html頁面，它裡面的代碼需要利用ajax擷取一個不同域上的json資料，假設這個json資料地址是http://example.com/data.php,那麼a.html中的代碼就可以這樣：

我們看到擷取資料的地址後面還有一個callback參數，按慣例是用這個參數名，但是你用其他的也一樣。當然如果擷取資料的jsonp地址頁面不是你自己能控制的，就得按照提供資料的那一方的規定格式來操作了。

因為是當做一個js檔案來引入的，所以http://example.com/data.php返回的必須是一個能執行的js檔案，所以這個頁面的php代碼可能是這樣的:

最終那個頁面輸出的結果是:

所以通過http://example.com/data.php?callback=dosomething得到的js檔案，就是我們之前定義的dosomething函數,並且它的參數就是我們需要的json資料，這樣我們就跨域獲得了我們需要的資料。

這樣jsonp的原理就很清楚了，通過script標籤引入一個js檔案，這個js檔案載入成功後會執行我們在url參數中指定的函數，並且會把我們需要的json資料作為參數傳入。所以jsonp是需要伺服器端的頁面進行相應的配合的。

知道jsonp跨域的原理後我們就可以用js動態產生script標籤來進行跨網域作業了，而不用特意的手動的書寫那些script標籤。如果你的頁面使用jquery，那麼通過它封裝的方法就能很方便的來進行jsonp操作了。

原理是一樣的，只不過我們不需要手動的插入script標籤以及定義回掉函數。jquery會自動產生一個全域函數來替換callback=?中的問號，之後擷取到資料後又會自動銷毀，實際上就是起一個臨時代理函數的作用。$.getJSON方法會自動判斷是否跨域，不跨域的話，就調用普通的ajax方法；跨域的話，則會以非同步載入js檔案的形式來調用jsonp的回呼函數。

CORS與JSONP相比，無疑更為先進、方便和可靠。

    1、 JSONP只能實現GET請求，而CORS支援所有類型的HTTP請求。

    2、 使用CORS，開發人員可以使用普通的XMLHttpRequest發起請求和獲得資料，比起JSONP有更好的錯誤處理。

    3、 JSONP主要被老的瀏覽器支援，它們往往不支援CORS，而絕大多數現代瀏覽器都已經支援了CORS）。

 3 document.domain跨子域

瀏覽器都有一個同源策略，其限制之一就是第一種方法中我們說的不能通過ajax的方法去請求不同源中的文檔。 它的第二個限制是瀏覽器中不同域的架構之間是不能進行js的互動操作的。有一點需要說明，不同的架構之間（父子或同輩），是能夠擷取到彼此的window對象的，但蛋疼的是你卻不能使用擷取到的window對象的屬性和方法(html5中的postMessage方法是一個例外，還有些瀏覽器比如ie6也可以使用top、parent等少數幾個屬性)，總之，你可以當做是只能擷取到一個幾乎無用的window對象。比如，有一個頁面，它的地址是http://www.example.com/a.html  ， 在這個頁面裡面有一個iframe，它的src是http://example.com/b.html, 很顯然，這個頁面與它裡面的iframe架構是不同域的，所以我們是無法通過在頁面中書寫js代碼來擷取iframe中的東西的：

這個時候，document.domain就可以派上用場了，我們只要把http://www.example.com/a.html 和 http://example.com/b.html這兩個頁面的document.domain都設成相同的網域名稱就可以了。但要注意的是，document.domain的設定是有限制的，我們只能把document.domain設定成自身或更高一級的父域，且主域必須相同。例如：a.b.example.com 中某個文檔的document.domain 可以設成a.b.example.com、b.example.com 、example.com中的任意一個，但是不可以設成 c.a.b.example.com,因為這是當前域的子域，也不可以設成baidu.com,因為主域已經不相同了。

在頁面 http://www.example.com/a.html 中設定document.domain:

在頁面 http://example.com/b.html 中也設定document.domain，而且這也是必須的，雖然這個文檔的domain就是example.com,但是還是必須顯示的設定document.domain的值：

這樣我們就可以通過js訪問到iframe中的各種屬性和對象了。

不過如果你想在http://www.example.com/a.html 頁面中通過ajax直接請求http://example.com/b.html 頁面，即使你設定了相同的document.domain也還是不行的，所以修改document.domain的方法只適用於不同子域的架構間的互動。如果你想通過ajax的方法去與不同子域的頁面互動，除了使用jsonp的方法外，還可以用一個隱藏的iframe來做一個代理。原理就是讓這個iframe載入一個與你想要通過ajax擷取資料的目標頁面處在相同的域的頁面，所以這個iframe中的頁面是可以正常使用ajax去擷取你要的資料的，然後就是通過我們剛剛講得修改document.domain的方法，讓我們能通過js完全控制這個iframe，這樣我們就可以讓iframe去發送ajax請求，然後收到的資料我們也可以獲得了。

4、使用window.name來進行跨域

window對象有個name屬性，該屬性有個特徵：即在一個視窗(window)的生命週期內,視窗載入的所有的頁面都是共用一個window.name的，每個頁面對window.name都有讀寫的許可權，window.name是持久存在一個視窗載入過的所有頁面中的，並不會因新頁面的載入而進行重設。

比如：有一個頁面a.html,它裡面有這樣的代碼：

再看看b.html頁面的代碼：

a.html頁面載入後3秒，跳轉到了b.html頁面，結果為：

我們看到在b.html頁面上成功擷取到了它的上一個頁面a.html給window.name設定的值。如果在之後所有載入的頁面都沒對window.name進行修改的話，那麼所有這些頁面擷取到的window.name的值都是a.html版面設定的那個值。當然，如果有需要，其中的任何一個頁面都可以對window.name的值進行修改。注意，window.name的值只能是字串的形式，這個字串的大小最大能允許2M左右甚至更大的一個容量，具體取決於不同的瀏覽器，但一般是夠用了。

上面的例子中，我們用到的頁面a.html和b.html是處於同一個域的，但是即使a.html與b.html處於不同的域中，上述結論同樣是適用的，這也正是利用window.name進行跨域的原理。

下面就來看一看具體是怎麼樣通過window.name來跨域擷取資料的。還是舉例說明。

比如有一個www.example.com/a.html頁面,需要通過a.html頁面裡的js來擷取另一個位於不同域上的頁面www.cnblogs.com/data.html裡的資料。

data.html頁面裡的代碼很簡單，就是給當前的window.name設定一個a.html頁面想要得到的資料值。data.html裡的代碼：

那麼在a.html頁面中，我們怎麼把data.html頁面載入進來呢？顯然我們不能直接在a.html頁面中通過改變window.location來載入data.html頁面，因為我們想要即使a.html頁面不跳轉也能得到data.html裡的資料。答案就是在a.html頁面中使用一個隱藏的iframe來充當一個中間人角色，由iframe去擷取data.html的資料，然後a.html再去得到iframe擷取到的資料。

充當中間人的iframe想要擷取到data.html的通過window.name設定的資料，只需要把這個iframe的src設為www.cnblogs.com/data.html就行了。然後a.html想要得到iframe所擷取到的資料，也就是想要得到iframe的window.name的值，還必須把這個iframe的src設成跟a.html頁面同一個域才行，不然根據前面講的同源策略，a.html是不能訪問到iframe裡的window.name屬性的。這就是整個跨域過程。

看下a.html頁面的代碼：

上面的代碼只是最簡單的原理示範代碼，你可以對使用js封裝上面的過程，比如動態建立iframe,動態註冊各種事件等等，當然為了安全，擷取完資料後，還可以銷毀作為代理的iframe。網上也有很多類似的現成代碼，有興趣的可以去找一下。

通過window.name來進行跨域，就是這樣子的。

 

5、使用HTML5中新引進的window.postMessage方法來跨域傳送資料

window.postMessage(message,targetOrigin)  方法是html5新引進的特性，可以使用它來向其它的window對象發送訊息，無論這個window對象是屬於同源或不同源，目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經支援window.postMessage方法。

調用postMessage方法的window對象是指要接收訊息的那一個window對象，該方法的第一個參數message為要發送的訊息，類型只能為字串；第二個參數targetOrigin用來限定接收訊息的那個window對象所在的域，如果不想限定域，可以使用萬用字元 *  。

需要接收訊息的window對象，可是通過監聽自身的message事件來擷取傳過來的訊息，訊息內容儲存在該事件對象的data屬性中。

上面所說的向其他window對象發送訊息，其實就是指一個頁面有幾個架構的那種情況，因為每一個架構都有一個window對象。在討論第二種方法的時候，我們說過，不同域的架構間是可以擷取到對方的window對象的，而且也可以使用window.postMessage這個方法。下面看一個簡單的樣本，有兩個頁面

 

我們運行a頁面後得到的結果:

我們看到b頁面成功的收到了訊息。

使用postMessage來跨域傳送資料還是比較直觀和方便的，但是缺點是IE6、IE7不支援，所以用不用還得根據實際需要來決定。

6 動態建立script

因為script標籤不受同源策略的限制。

function loadScript(url, func) {  var head = document.head || document.getElementByTagName(‘head‘)[0];  var script = document.createElement(‘script‘);  script.src = url;  script.onload = script.onreadystatechange = function(){    if(!this.readyState || this.readyState==‘loaded‘ || this.readyState==‘complete‘){      func();      script.onload = script.onreadystatechange = null;    }  };  head.insertBefore(script, 0);}window.baidu = {  sug: function(data){    console.log(data);  }}loadScript(‘http://suggestion.baidu.com/su?wd=w‘,function(){console.log(‘loaded‘)});//我們請求的內容在哪裡？//我們可以在chorme調試面板的source中看到script引入的內容

7 伺服器端代理實現

這是一種不是通過js實現跨域的方式： 通過伺服器端代理實現。

具體的思路：由於瀏覽器有同源策略限制，所以想要跨域訪問其他域下的資源，需要繞開瀏覽器的這個限制，可以在伺服器端設定一個代理，由伺服器端向跨域下的網站發出請求，再將請求結果返回給前端，成功避免同源策略的限制。

具體操作如下：

1、在localhost:81/a.html中，向同源下的某個代理程式發出請求

$.ajax({    url:‘/proxy.php?name=hello&info=information‘,   //伺服器端的代理程式    type:‘GET‘,    success:function (){}})

2、在代理程式proxy.php中，向非同源下的伺服器發出請求，獲得請求結果，將結果返回給前端。

<?php $name=$_GET[‘name‘];$info = $_GET[‘info‘];$crossUrl = ‘http://b.com/sub?name=‘.$name;   //向其他域下發出請求$res = file_get_contents($crossUrl);echo $res;  ?>

在資料提供方沒有提供對JSONP協議或者 window.name協議的支援，也沒有對其它域開放存取權限時，我們可以通過server proxy的方式來抓取資料。例如當baidu.com域下的頁面需要請求google.com下的資源檔getUsers.php時，直接發送一個指向 google.com/getUsers.php的Ajax請求肯定是會被瀏覽器阻止。這時，我們在baidu.com下配一個代理，然後把Ajax請求綁定到這個代理路徑下，例如baidu.com/proxy/, 然後這個代理髮送HTTP請求訪問google.com下的getUsers.php，跨域的HTTP請求是在伺服器端進行的（伺服器端沒有同源策略限制），用戶端並沒有產生跨域的Ajax請求。這個跨域方式不需要和目標資源簽訂協議，帶有侵略性。

8 flash URLLoader

flash有自己的一套安全性原則，伺服器可以通過crossdomain.xml檔案來聲明能被哪些域的SWF檔案訪問，SWF也可以通過API來確定自身能被哪些域的SWF載入。當跨域訪問資源時，例如從域baidu.com請求域google.com上的資料，我們可以藉助flash來發送HTTP請求。首先，修改域google.com上的crossdomain.xml(一般存放在根目錄，如果沒有需要手動建立) ，把baidu.com加入到白名單。其次，通過Flash URLLoader發送HTTP請求，最後，通過Flash API把響應結果傳遞給JavaScript。Flash URLLoader是一種很普遍的跨域解決方案，不過需要支援iOS的話，這個方案就不可行了。

JS跨域筆記