四种post跨域的解决方案:
window.name
cors
flash
iframe
何为跨域:默认情况下,XHR对象只能访问与包含它的页面位于同一个域的资源。这种安全策略可以预防某些恶意行为。但是,实现合理的跨域请求队开发某些浏览器应用程序也是至关重要的。
如何跨域
(一)CORS(Cross-Origin Resource Sharing,跨源资源共享)
CORS(Cross-Origin Resource Sharing,跨源资源共享)是W3C的一个工作草案,定义了在必须访问跨源资源时,浏览器与服务器应该如何沟通。
CORS 背后的基本思想,就是使用自定义的HTTP 头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是失败。
实现此功能很简单,只需由服务器发送一个响应标头即可:
浏览器支持情况:
IE8+
Firefox 3.5+
Opera 12+
Safari 4+
Chrome 3+
假设,我们页面或者应用已在 http://www.a.com/ 上了,而我们打算从 http://www.b.com/ 请求提取数据,一般情况下,如果我们直接使用 ajax 来请求,将会失败,浏览器也会返回错误。
利用 CORS,http://www.b.com/ 只需添加一个标头,就可以允许来自 http://www.a.com/ 的请求。
下面是用php进行的设置,"*"号表示允许任何域向我们的服务器端提交请求:
header{ "Access-Control-Allow-Origin: *" }
CORS 的兼容性写法:
function createCORSRequest(method, url){
var xhr = new XMLHttpRequest();
// 非IE浏览器
if("withCredentials" in xhr){
xhr.open(method, url, true);
} else if(typeof XDomainRequest != "undefined") {
xhr = new XDomainRequest();
xhr.open(method, url);
} else {
xhr = null;
}
return xhr;
}
var request = createCORSRequest("get", "http://www.somewhere-else.com/page/");
if(request){
request.onload = function(){
// 对request.responseText 进行处理
};
request.send();
}
(二)JSONP(JSON with Padding 填充式JSON 或参数式JSON)
在 js 中,我们虽然不能直接用XMLHttpRequest请求不同域上的数据时,但是在页面上引入不同域伤的 js 脚本文件确是可以的,jsonp正是利用这个特性来实现的。
JSONP 由两部分组成:回调函数和数据。回调函数是当响应到来时,应该在页面中调用的函数,而数据就是传入回调函数中的JSON数据。
eg:
首先,第一个 script 便签定义了一个处理数据的函数,
然后第二个 script 标签载入了一个js文件,http://example.com/data.php 是数据所在地址,但是因为是当做js来引入的,所以http://example.com/data.php 返回的必须是一个能执行的js文件;
最后 js 文件载入成功后会执行我们在url参数中指定的函数,并且会把我们需要的 json 数据作为参数传入。所以php应该是这样的:
最终,输出结果为:dosomething(['a', 'b', 'c']);
从上面可以看出 jsonp 是需要服务器端的页面进行相应的配合的。
JSONP的优缺点:
优点:
- 它的兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持;
- 能够直接访问响应文本,支持在浏览器与服务器之间双向通信
缺点:
- JSONP 是从其他域中加载代码执行。如果其他域不安全,很可能会在响应中夹带一些恶意代码,而此时除了完全放弃JSONP 调用之外,没有办法追究。因此在使用不是你自己运维的Web 服务时,一定得保证它安全可靠。
- 它只支持GET请求而不支持POST等其它类型的HTTP请求;它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。
(三)window.name
window 对象有个 name 属性,该属性有个特征:即在一个窗口(window)的生命周期内,窗口载入的所有页面都是共享一个window.name的,每个页面对window.name都有读写的权限,
这里有三个页面:
- a.com/app.html:应用页面。
- a.com/proxy.html:代理文件,一般是一个没有任何内容的html文件,需要和应用页面在同一域下。
- b.com/data.html:应用页面需要获取数据的页面,可称为数据页面。
app.html
data.html
iframe 首先的地址是 b.com/data.html ,所以能取到 window.name 数据;
但是 iframe 现在跟 app.html 并不同源,app.html无法获取到数据,所以又将 iframe 的链接跳转至 a.com/proxy.html 这个代理页面,现在 app.html 跟 iframe 就同源了。
注意:iframe 由 b.com/data.html 跳转到 a.com/proxy.html 页面,window.name 的 value 是不变的
获取数据以后销毁这个iframe,释放内存;这也保证了安全(不被其他域frame js访问)
(四)document.domain + iframe
对于主域相同而子域不同的例子,可以通过设置 document.domain 的办法来解决。
具体的做法是可以在 http://www.a.com/a.html 和 http://script.a.com/b.html 两个文件中分别设置document.domain = 'a.com',然后通过 a.html 文件中创建一个 iframe,去控制 iframe 的 contentDocument ,这样两个 js 文件之间就可以“交互”了。
http://www.a.com/a.html页面:
http://script.a.com/b.html页面:
这样俩个页面就可以通过 js 相互访问各种属性和对象了。
document.domain 的设置是有限制的,我们只能把 document.domain 设置成自身或更高一级的父域,且主域必须相同。
例如:a.b.example.com 中某个文档的 document.domain 可以设成 a.b.example.com、b.example.com 、example.com 中的任意一个,但是不可以设成 c.a.b.example.com,因为这是当前域的子域,也不可以设成 baidu.com,因为主域已经不相同了。
用法:
otherWindow.postMessage(message, targetOrigin);
- otherWindow: 对接收信息页面的window的引用。可以是页面中iframe的contentWindow属性;window.+open的返回值;通过name或下标从window.frames取到的值。
- message: 所要发送的数据,string类型。
- targetOrigin: 用于限制otherWindow,“*”表示不作限制
数据发送端
a.com/index.html 中的代码:
数据接收端
b.com/index.html 中的代码:
原文地址: http://www.cnblogs.com/2050/p/3191744.html#3322244