与iframe进行跨域交互的解决方案(推荐)

目录

• 前言
• 使用 postMessage() 方法
• 使用location.hash 
• document.domain属性 
• 使用window.name 属性 
• CORS
• 使用JSONP
• 使用WebSocket 
• 使用WebRTC 
• 使用中间页面 

前言

在Web开发中，为了避免安全漏洞，浏览器会实行同源策略（Same-Origin Policy），即只允许同源网页之间进行交互，而跨域的交互是被禁止的。但是，有时我们需要在不同域名的页面之间进行数据传递和交互。 

使用 postMessage() 方法

通过 postMessage() 方法可以在两个不同的窗口之间传递消息，包括不同域名的 iframe。在父页面中使用 postMessage() 方法发送消息，在子页面中使用 addEventListener() 方法监听消息。需要注意的是，需要在两个页面中都添加相应的代码才能实现跨域交互。 

在父页面中： 

// 发送消息到 iframe
var iframe = document.getElementById('my-iframe');
iframe.contentWindow.postMessage('Hello from parent', '*');
 
// 接收子页面发来的消息
window.addEventListener('message', function(event) {
  if (event.origin !== 'http://example.com') return; // 验证消息来源
  console.log('Received message from iframe:', event.data);
}, false);

在子页面中：

// 发送消息到父页面
window.parent.postMessage('Hello from iframe', '*');
 
// 接收父页面发来的消息
window.addEventListener('message', function(event) {
  if (event.origin !== 'http://example.com') return; // 验证消息来源
  console.log('Received message from parent:', event.data);
}, false);

使用location.hash 

在父页面中设置一个定时器，用于检测目标页面的URL哈希值是否发生变化 

setInterval(function() {
  if (document.getElementById("myIframe").contentWindow.location.hash) {
    // 子页面URL哈希值发生变化，执行相应的操作
  }
}, 100);

在子页面中设置一个定时器，用于检测父页面URL哈希值是否发生变化 

setInterval(function() {
  if (window.location.hash) {
    // 父页面URL哈希值发生变化，执行相应的操作
  }
}, 100);

父页面中通过改变iframe的src属性来向目标页面发送消息 

document.getElementById("myIframe").src = "http://www.example.com/target-page#" + message;

子页面中通过改变location.hash来向父页面发送消息 

window.location.hash = message;

使用location.hash和iframe进行跨域交互的方式存在一些限制和安全风险，例如URL哈希值的长度限制、URL哈希值被篡改等问题，因此需要谨慎使用，确保数据的安全性和完整性 

document.domain属性 

子页面中设置document.domain属性，将其设置为父页面的域名，以便子页面和父页面具有相同的域名，从而实现跨域交互。

document.domain = "example.com";

父页面通过iframe元素的contentWindow属性获取子页面的window对象，从而可以访问子页面的内容和方法。 

var iframe = document.getElementById("myFrame");
var childWindow = iframe.contentWindow;

 子页面可以通过window.parent属性获取父页面的window对象，从而可以访问父页面的内容和方法。

var parentWindow = window.parent;

注： 设置domain属性是关键！！！

使用window.name 属性 

 可以利用 iframe 的 window.name 属性来进行跨域交互。由于 window.name 属性在同一窗口中是唯一的，因此可以将需要传递的数据存储在该属性中，在父页面中读取。

在父页面中： 

在子页面中：

// 发送消息给父页面
window.top.postMessage(window.name, 'http://www.a.com');

在子页面中，我们设置了 window.name 的值，并使用 window.top.postMessage 方法向父页面发送消息。在父页面中，我们通过监听 window.message 事件来接收这个消息。注意，postMessage 方法中的第二个参数必须是父页面的域名，否则浏览器会拒绝发送消息。 

需要注意的是，使用 window.name 属性进行跨域交互可能存在一些安全风险，因此需要谨慎使用,window.name也有2M容量的限制

CORS

CORS（Cross-Origin Resource Sharing）是一种跨域资源共享的机制，它通过在服务端设置响应头来实现跨域通信。通过在响应头中设置 Access-Control-Allow-Origin、Access-Control-Allow-Methods 等字段，可以允许指定的源、方法等跨域访问资源。在客户端中，可以像访问同域资源一样访问跨域资源。

使用JSONP

JSONP 是一种通过动态添加