第一部分: 内容提要
介绍下跨域的三种常见方式:
- JSONP (常用,兼容性好)
- CORS (简单,效率)
- postMessage (小众,安全,局限)
第二部分: 前置知识
在聊跨域之前,我们需要知道什么是跨域,为什么要跨域. 那是因为浏览器有同源策略的存在.
什么是同源策略呢?
它是浏览器基于安全保护而应运而生的一种安全模型,它控制着网页中DOM之间的访问
一款浏览器不可能让A域名去执行B域名的JavaScript代码(除非B域名开发了外链数据接口), 这样会造成数据污染,难以清理.
同源的意思是: 同协议 && 同域名 && 同端口 ( 三者同时都要满足 才 叫 同源)
http://abc.com/main.js 与 https://abc.com/main.php 不同源 (协议不同)
http://abc.com/main.js 与 http://cba.com/main.php 不同源 (域名不同,域名须一致)
http://abc.com/main.js 与 https://abc.com:8080/a.php 不同源 (端口不同, 第一个是80)
那是什么是跨域呢?
因为有浏览器同源策略的存在, 就有了跨域的需求.
a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,所进行的访问行动过程就是跨域.
第三部分: 跨域的实现
跨域实现方法一: JSONP
原理:
- 我们知道, 在网上使用一些标签的 scr.link..herf..等属性去get网络上的一些静态资源,
这表明这些 scr.link..等没有受到同源策略的限制. 这给JSONP跨域的实现提供了契机.. - 我们还知道到同源策略是浏览器的安全机制模型,
如果把它掰开来看就是: 一个请求发出去->一定会得到了响应和需求的数据,
但是在最后传输到浏览器的最后门口,被的同源策略给拒之门外. - 问题来了, 怎么让请求的数据不被拒之门外呢? ....
我们可以让请求端声明一个函数,让后端来执行这个函数,
参数携带数据回来,这里有个前提是: 参数的命名,须前后端事先约好. - JSONP核心就是这个参数(callback), get请求发出去, 应用callback 函数参数来 获取请求的数据.
实现过程:
在当前所在html中创建一个srcipt标签,将src设置为接口地址,
服务器那边以获取callback中的参数值+要发送的数据以json字符串的形式回应,
页面获取到数据调用同callback参数值的方法名来展现数据
JSONP演示案例:
server.js
var http = require('http')
var fs = require('fs')
var path = require('path')
var url = require('url')
http.createServer(function(req, res){
var pathObj = url.parse(req.url, true)
switch (pathObj.pathname) {
case '/getNews':
var news = [
"第11日前瞻:中国冲击4金 博尔特再战200米羽球",
"正直播柴飚/洪炜出战 男双力争会师决赛",
"女排将死磕巴西!郎平安排男陪练模仿对方核心"
]
res.setHeader('Content-Type','text/json; charset=utf-8')
if(pathObj.query.callback){ // 核心代码, 应用callback传回参数给页面定义的函数
res.end(pathObj.query.callback + '(' + JSON.stringify(news) + ')')
}else{
res.end(JSON.stringify(news))
}
break;
default:
fs.readFile(path.join(__dirname, pathObj.pathname), function(e, data){
if(e){
res.writeHead(404, 'not found')
res.end('404 Not Found
')
}else{
res.end(data)
}
})
}
}).listen(8080)
index.html
跨域实现方法二: CORS
是跨域资源分享(Cross-Origin Resource Sharing)的缩写.
流程如下:
- 网页上发送XHLHttpRequest的时候, 浏览器判断 这个 发送的请求 是否同源.
- 发现不同源 --> 给这个请求加上 一个请求头: Origin, 并做一些处理.
- 不同源的服务器收到请求,进行处理后,在发送数据的时候,会 加入一个 响应头: Access-Control-Allow-Origin (进入浏览器的凭证)
- 最后,数据来到浏览器门口,浏览器看这段数据是否包含自己处理过的Origin值.
- 如果 有, 请进; 没有,一边凉快去.
CORS演示案例:
server.js
var http = require('http')
var fs = require('fs')
var path = require('path')
var url = require('url')
http.createServer(function(req, res){
var pathObj = url.parse(req.url, true)
switch (pathObj.pathname) {
case '/getNews':
var news = [
"第11日前瞻:中国冲击4金 博尔特再战200米羽球",
"正直播柴飚/洪炜出战 男双力争会师决赛",
"女排将死磕巴西!郎平安排男陪练模仿对方核心"
]
res.setHeader('Access-Control-Allow-Origin','http://localhost:8080') // 核心代码 给请求头添加验证码:Access-Control-Allow-Origin
//res.setHeader('Access-Control-Allow-Origin','*')
res.end(JSON.stringify(news))
break;
default:
fs.readFile(path.join(__dirname, pathObj.pathname), function(e, data){
if(e){
res.writeHead(404, 'not found')
res.end('404 Not Found
')
}else{
res.end(data)
}
})
}
}).listen(8080)
index.html
跨域实现方法三: postMessage
postMessage 原理:
- postMessage 是 HTML5 中新增方法,可实现跨域通信;
- postMessage 并不是向服务器读写资源,只是向外发送消息而已;可以把它当做使用手机发送短信消息,仅此而已。
- 也就是:A 页面向 B 页面发送了一条消息,B 页面会接受到该消息,如果 B 页面需要该消息,则监听 message;否则无需关心该消息
- 发送方:为目标元素添加事件处理程序,监听事件类型
- 接收方:为 window 添加事件处理程序,事件类型为 messag
案例:
1)页面的说明:
A 页面的域为 a.com;A 页面拥有两个元素 input 输入框、ifream,ifream引入 B 页面资源;
B 页面的域为 b.com;B 页面拥有一个元素 input 输入框
2)实现的功能:在任意 input 输入框中输入值时,另外一个 input 输入框同步显示输入的值
A 页面代码 a.com
var input = document.querySelector('.main input');
input.addEventListener('input', function () {
console.log('window:' + this.value);
window.frames[0].postMessage(this.value, '*');
});
window.addEventListener('message', function (e) {
console.log('window:'+ e.data);
input.value = e.data;
})
B 页面代码 b.com
var input = document.querySelector('input');
input.addEventListener('input', function () {
console.log('iframe:'+ this.value);
window.parent.postMessage(this.value, 'http://a.com:8080');
});
window.addEventListener('message', function (e) {
console.log('ifream:'+ e.data);
input.value = e.data;
})
postMessage 的注意点
- 这样就解除了降域的限制,可以将 postMessage 应用到各个不同的域之间,
实现跨域访问。该方式比较安全,因为对方并不能直接操控我方资源,
仅仅是发了一条消息,相当于指令,而最终操作权限仍在自己手中- 虽然解决了降域的限制,但是:postMessage 是 window 的一个方法,
话句话说:它的弱点是只能向 window 窗口发送消息。
所以使用时至少要有一个 window 才行,postMessage 不可以向其他域名发送消息