跨域访问Cookie

通过jQuery.get是不能异步访问跨域资源的。主要是因为安全考虑，否则其他域有可能获得当前页的cookie造成隐私泄漏。但js确可以跨域访问，因为所有浏览器都支持refer外部的js文件。访问外部域的js时会发送外部域的cookie，这样在返回的js中就能获取值了。

创建两个website，分别叫local.domain1.com和local.domain2.com

domain1中负责set和get本域的cookie，分别为setcookie.aspx和getcookie.aspx

  
    

   
     //
   
     setcookie.aspx
   
     

   
     public
   
      
   
     partial
   
      
   
     class
   
      SetCookie : System.Web.UI.Page
 {
 
   
     protected
   
      
   
     void
   
      Page_Load(
   
     object
   
      sender, EventArgs e)
 {
 Response.Headers.Add(
   
     "
   
     P3P
   
     "
   
     ,

   
     @"
   
     CP=""CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR""
   
     "
   
     );

 
   
     if
   
      (Response.Cookies 
   
     !=
   
      
   
     null
   
      
   
     &&
   
      Request.Cookies.AllKeys.Contains(
   
     "
   
     password
   
     "
   
     ))
 Response.Write(Request.Cookies[
   
     "
   
     password
   
     "
   
     ].Value);
 HttpCookie aCookie 
   
     =
   
      
   
     new
   
      HttpCookie(
   
     "
   
     password
   
     "
   
     );
 aCookie.Value 
   
     =
   
      
   
     "
   
     secret1!
   
     "
   
     ;
 aCookie.Expires 
   
     =
   
      DateTime.Now.AddDays(
   
     1
   
     ); 
 Response.SetCookie(aCookie); 
 }
 }


   
     //
   
     getcookie.aspx
   
     

   
     public
   
      
   
     partial
   
      
   
     class
   
      GetCookie : System.Web.UI.Page
 {
 
   
     protected
   
      
   
     void
   
      Page_Load(
   
     object
   
      sender, EventArgs e)
 {
 
   
     string
   
      val 
   
     =
   
      
   
     string
   
     .Empty;
 
   
     if
   
      (Request.Cookies 
   
     !=
   
      
   
     null
   
      
   
     &&
   
      Request.Cookies.AllKeys.Contains(
   
     "
   
     password
   
     "
   
     ))
 val 
   
     =
   
      (Request.Cookies[
   
     "
   
     password
   
     "
   
     ].Value);
 Response.Write(Request.QueryString[
   
     "
   
     callback
   
     "
   
     ] 
   
     +
   
      
   
     "
   
     ('
   
     "
   
      
   
     +
   
      val 
   
     +
   
      
   
     "
   
     ')
   
     "
   
     );
 }
 }
  
    

setcookie.aspx => 存放password=secret1!的cookie，这存在潜在的危险，一开始的header是为了允许ie修改cookie

getcookie.aspx => 返回jsonp数据，其中的callback是由jquery自动生成的

在domain2中，添加访问页面getcrossdomaincookie.aspx

  
    

   
     <
   
     script 
   
     src
   
     ="http://code.jquery.com/jquery-1.5.1.min.js"
   
      type
   
     ="text/javascript"
   
     ></
   
     script
   
     >
   
     
 
   
     <
   
     script
   
     >
   
     
 $(function () {
 $.getJSON('http://local.domain1.com/getcookie.aspx?callback=?', function (data) {
 alert(data);
 });
 });
 
   
     </
   
     script
   
     >
  
    

关键在于callback=?，其中?说明由jquery自动生成jsonp的callback方法。

其实getJSON的设计有些tricky，包含了两种不同的行为。如果没有callback=?，就是普通的异步访问本域的资源然后返回结果。但如果是jsonp的形式，事实上会通过在header tag中动态加入script tag然后在载入后删除（IE似乎没有删除），当然这也是jsonp的标准做法。