同源策略(Same Origin Policy)
浏览器出于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
本域指的是:
- 同协议:如都是http或https
- 同域名:如http://jirengu.com/a与http://jirengu.com/b
- 同端口:如都是80端口
需要注意的是:对于当前页面来说页面保存的JS文件的域不重要,重要的是加载该JS页面所在的域。
跨域的实现方法
一、JSONP
JSONP是通过 script 标签加载数据的方式去获取数据当做 JS 代码来执行 提前在页面上声明一个函数,函数名通过接口传参的方式传给后台,后台解析到函数名后在原始数据上「包裹」这个函数名,发送给前端。换句话说,JSONP 需要对应接口的后端的配合才能实现。
sever.js
var http = require('http')
var fs = require('fs')
var path = require('path')
var url = require('url')
http.createServer(function(req, res){
var pathObj = url.parse(req.url, true)
switch (pathObj.pathname) {
case '/getNews':
var news = [
"第11日前瞻:中国冲击4金 博尔特再战200米羽球",
"正直播柴飚/洪炜出战 男双力争会师决赛",
"女排将死磕巴西!郎平安排男陪练模仿对方核心"
]
res.setHeader('Content-Type','text/json; charset=utf-8')
if(pathObj.query.callback){
res.end(pathObj.query.callback + '(' + JSON.stringify(news) + ')')
}else{
res.end(JSON.stringify(news))
}
break;
default:
fs.readFile(path.join(__dirname, pathObj.pathname), function(e, data){
if(e){
res.writeHead(404, 'not found')
res.end('404 Not Found
')
}else{
res.end(data)
}
})
}
}).listen(8080)
index.html
打开终端,输入node sever.js,浏览器打开 http://localhost:8080/index.html
二、CORS
CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。 实现方式很简单,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。
server.js
var http = require('http')
var fs = require('fs')
var path = require('path')
var url = require('url')
http.createServer(function(req, res){
var pathObj = url.parse(req.url, true)
switch (pathObj.pathname) {
case '/getNews':
var news = [
"第11日前瞻:中国冲击4金 博尔特再战200米羽球",
"正直播柴飚/洪炜出战 男双力争会师决赛",
"女排将死磕巴西!郎平安排男陪练模仿对方核心"
]
res.setHeader('Access-Control-Allow-Origin','http://localhost:8080')
//res.setHeader('Access-Control-Allow-Origin','*')
res.end(JSON.stringify(news))
break;
default:
fs.readFile(path.join(__dirname, pathObj.pathname), function(e, data){
if(e){
res.writeHead(404, 'not found')
res.end('404 Not Found
')
}else{
res.end(data)
}
})
}
}).listen(8080)
index.html
三、降域
域名为http://b.wuxiaozhou.com/b的网页以iframe的形式嵌在域名为http://a.wuxiaozhou.com/a的网页中,它们来自不同的域名,正常情况下不能进行跨域访问。
但是当我们为两个页面都加上这样一句代码document.domain = 'wuxiaozhou.com';,这时候这两个页面就位于同一个域名下面了,就可以在页面a中对页面b进行操作了,两个页面可以互相访问。
需要注意的是两个域名要有相同的部分才可以使用降域,比如这个例子中的就都含有wuxiaozhou.com这一部分。
a.html
使用降域实现跨域
b.html
四、postMessage
postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本档、多窗口、跨域消息传递。
postMessage(data,origin)方法接受两个参数:
- data:要传递的数据,html5规范中提到该参数可以是JavaScript的任意基本类型或可复制的对象,然而并不是所有浏览器都做到了这点儿,部分浏览器只能处理字符串参数,所以我们在传递参数的时候需要使用JSON.stringify()方法对对象参数序列化,在低版本IE中引用json2.js可以实现类似效果。而接收方要开启事件监听,监听message事件。
- origin:字符串参数,指明目标窗口的源,协议+主机+端口号[+URL],URL会被忽略,所以可以不写,这个参数是为了安全考虑,postMessage()方法只会将message传递给指定窗口,当然如果愿意也可以建参数设置为"*",这样可以传递给任意窗口,如果要指定和当前窗口同源的话设置为"/"。
五、服务端中转跨域
JSONP、CORS 这两种跨域请求方式都需要对方服务器支持。假设对方服务器不提供支持怎么办?还有一个必杀技,自己搭建 server 中请求中转。
假设 我们的页面为 https://jirengu.github.io/weather/weather.html, 需要向 https://weather.com/now 这个接口发送请求获取数据,但此接口不支持JSONP 和 CORS跨域。
我们可以这样做:
- 搭建服务器,创建接口,如 https://api.jirengu.com/weather
- 设置这个接口允许 CORS 跨域
- 我们的页面向自己的这个接口发请求
- 接口收到请求后,在服务器端向https://weather.com/now这个接口要数据(在服务端不存在同源策略限制),拿到数据后,返回给前端页面
六、withCredentials
XMLHttpRequest.withCredentials表示跨域请求是否提供凭据信息(cookie、HTTP认证及客户端SSL证明等),也可以简单的理解为,当前请求为跨域类型时是否在请求中协带cookie。
假设 我们的页面为 https://jirengu.github.io/notebook/index.html, 需要向 https://note-server.jirengu.com.com/isLogin (此接口设置了 CORS 跨域支持)这个接口发发送请求获取用户是否登录的信息。
在发送请求的时候,需要设置 withCredentials = true, 那么请求的时候会带上 cookie 信息。否则请求不带上 cookie,后端接口会认为一直处于未登录状态。
var xhr = new XMLHttpRequest()
xhr.withCredentials = true
xhr.open('GET', 'https://note-server.jirengu.com.com/isLogin', true)
xhr.onload = function() {
console.log('withCredentials: ', xhr.withCredentials)
}
xhr.send()