1: 什么是同源策略
最初,它的含義是指,A網頁設置的 Cookie,B網頁不能打開,除非這兩個網頁"同源",所謂"同源"指的是"三個相同".
協議相同
域名相同
端口相同舉例來說:
http://www.example.com/dir/page.html
這個網址協議是http://,域名是www.example.com,端口是80(默認端口可以省略),它的同源情況如下.
http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://v2.www.example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)
https://www.example.com:81/dir/other.html:不同源(https協議不同)
2: 什么是跨域?跨域有幾種實現形式
-
跨域出現的原因
JavaScript出于安全方面的考慮,不允許一個網頁訪問一個非同源的網頁,即2個網址的協議相同,域名相同,端口相同其中任意一個不同就是非同源. -
概念:只要協議、域名、端口有任何一個不同,都被當作是不同的域。
比如:有一個Ajax的var xhr=new XMLHttpRequest()的xhr對象,在a網址里發生請求到一個非同源的b網址,會請求的報錯.
不跨域會出現圖片的的報錯
- 跨域就是為了解決這個問題,實現非同源網頁之間的數據傳輸和通信.
跨域常見方式
JSONP(JSON with Padding 填充式JSON 或參數式JSON)CORS(Cross-Origin Resource Sharing,跨源資源共享)HTML5的
window.postMessage
window.postMessage(message,targetOrigin) 方法是html5新引進的特性,可以使用它來向其它的window對象發送消息,無論這個window對象是屬于同源或不同源,目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經支持window.postMessage方法。
window.postMessage允許兩個窗口/幀之間跨域發送數據消息。從本質上講,window.postMessage是一個跨域的無服務器墊片的Ajax。降域: document.domain
使用條件:
有其他頁面 window 對象的引用,
二級域名相同,
協議相同,
端口相同
//在頁面 http://www.example.com/a.html 中設置document.domain:
<iframe src="example.com/b.html" id="iframe" onload="test()"></iframe>
<script>
document.domain='example.com';//設置成主域
function test(){
alert(document.getElementById('iframe').contentWindow);
}
</script>
//在頁面 http://example.com/b.html中也設置document.domain
<script>
document.domain='example.com';//在iframe載入的這個頁面也設置 document.domain與主頁面相同
</script>
//而且是必須的,雖然這個文檔的domain就是example.com,但是還是必須顯示的設置document.domain的值
3: JSONP 的原理是什么
JSONP (JSON with Padding)是一個簡單高效的跨域方式,html中的script標簽可以加載并執行其他域的JavaScript,于是我們可以通過script標記來動態加載其他域的資源,例如我要從域A的頁面pageA加載域B的數據,那么在域B的頁面pageB中我以JavaScript的形式聲明pageA需要的數據,然后在pageA中用script標簽把pageB加載進來,那么pageB中的腳本就會得以執行。JSONP在此基礎上加入了回調函數,pageB加載完之后會執行pageA中定義的函數,所需要的數據會以參數的形式傳遞給該函數。JSONP易于實現,但是也會存在一些安全隱患,如果第三方的腳本隨意地執行,那么它就可以篡改頁面內容,截獲敏感數據。但是在受信任的雙方傳遞數據,JSONP是非常合適的選擇。
.css,.js,圖片的引用和jsonp跨域拿到js方法有什么區別 ?
相同點:
在html里.js,圖片的引用和jsonp拿到js的方法是一樣的,都是從服務器那到js文件然后插入到html里.
不同:
只不過出發點是不一樣,前者是加載資源,后者為了跨域拿后臺返回的js.
jsonp還多了一個回調,區別是出發點和應用方法不同,但都有從服務器返回的資源.
4: CORS是什么
CORS(Cross-Origin Resource Sharing)跨域資源共享,定義了必須在訪問跨域資源時,瀏覽器與服務器應該如何溝通.CORS背后的基本思想就是使用自定義的HTTP頭部讓瀏覽器與服務器進行溝通,從而決定請求或響應是應該成功還是失敗.跨域后瀏覽器不會返回數據.
**簡單請求 **
瀏覽器將CORS請求分成兩類:簡單請求(simple request)和
簡單請求條件
1) 請求方法是以下三種方法中的一個:
HEAD
GET
POST
2)HTTP的頭信息不超出以下幾種字段:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同時滿足上面兩個條件,就屬于非簡單請求
-
使用
在服務器后臺設置header屬性Access-Control-Allow-Origin
它的值是請求時Origin字段的值或者*,*表示接受任意域名的請求。
app.get('/getNews', function(req, res){
var news = [
"第11日前瞻:中國沖擊4金 博爾特再戰200米羽球",
]
var data = [];
for(var i=0; i<3; i++){
var index = parseInt(Math.random()*news.length);
data.push(news[index]);
news.splice(index, 1);
}
res.header("Access-Control-Allow-Origin", "http://a.jrg.com:8080"); //代表只接受http://a.jrg.com:8080網址的請求
//res.header("Access-Control-Allow-Origin", "*"); //*表示接受任意域名的請求
res.send(data);
})
-
非簡單請求
是那種對服務器有特殊要求的請求,比如請求方法是PUT或DELETE,或者Content-Type字段的類型是application/json。
非簡單請求的CORS請求,會在正式通信之前,增加一次HTTP查詢請求,稱為"預檢"請求(preflight).
瀏覽器先詢問服務器,當前網頁所在的域名是否在服務器的許可名單之中,以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復,瀏覽器才會發出正式的XMLHttpRequest請求,否則就報錯。
-
CORS與JSONP的比較
CORS與JSONP的使用目的相同,但是比JSONP更強大,但CORS不支持IE6.7.8.
JSONP只支持GET請求,CORS支持所有類型的HTTP請求。JSONP的優勢在于支持老式瀏覽器,以及可以向不支持CORS的網站請求數據.
5: 演示三種常用以上跨域的解決方式
-
jsonp
參考阮一峰
先在客戶端上設置 新 Hosts
127.0.0.1 a.jrg.com
127.0.0.1 b.jrg.com
127.0.0.1 jrg.com
router.js
app.get('/getNews', function(req, res){
var news = [
'我沒有特別的才能,只有強烈的好奇心。永遠保持好奇心的人是永遠進步的人。——愛因斯坦',
'愛因斯坦認為他之所以取得成功,原因在于他具有狂熱的好奇心.',
'求知欲,好奇心這是人的永恒的,不可改變的特性。哪里沒有求知欲,哪里便沒有學校。——蘇霍姆林斯基',
'孩子提出的問題越多,那么他在童年早期認識周圍的東西也就愈多,在學校中越聰明,眼睛愈明,記憶力愈敏銳。要培養自己孩子的智力,那你就得教給他思考。——蘇霍姆林斯基',
'我想起了自己小學的學習經歷,終于理解了為什么小時候成績好,我那時候確實好奇心非常強烈.',
'人的內心里有一種根深蒂固的需要——總想感到自己是發現者、研究者、探尋者。在兒童的精神世界中,這種需求特別強烈。但如果不向這種需求提供養料,即不積極接觸事實和現象,缺乏認識的樂趣,這種需求就會逐漸消失,求知興趣也與之一道熄滅。(蘇霍姆林斯基)',
'生活的全部意義在于無窮地探索尚未知道的東西,在于不斷地增加更多的知識。——左拉'
]
var data = [];
for(var i=0; i<3; i++){
var index = parseInt(Math.random()*news.length);
data.push(news[index]);
news.splice(index, 1);//把data數組里已經有的元素從news數組里刪除,保證不重復上一步拿到的新聞
}
var cb = req.query.callback
if(cb){
res.send(cb + '('+ JSON.stringify(data) + ')');
}else{
res.send(data);
}
})
index.html
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<title>news</title>
<style>
.container{
width: 900px;
margin: 0 auto;
}
</style>
</head>
<body>
<div class="container">
<ul class="news">
<li>我沒有特別的才能,只有強烈的好奇心 ——愛因斯坦</li>
<li>我沒有特別的才能,只有強烈的好奇心 ——愛因斯坦</li>
<li>我沒有特別的才能,只有強烈的好奇心 ——愛因斯坦</li>
</ul>
<button class="change">點我換一組</button>
</div>
<script>
$('.change').addEventListener('click', function(){
var script = document.createElement('script');
script.src = 'http://gaygay.com:8080/getNews?callback=appendHtml';//必須是'http://xxx.com:8080/的形式
document.head.appendChild(script);
document.head.removeChild(script);
})
function appendHtml(news){
var html = '';
for( var i=0; i<news.length; i++){
html += '<li>' + news[i] + '</li>';
}
console.log(html);
$('.news').innerHTML = html;
}
function $(id){//$函數,發請求前和點擊換一組都調用.傳入參數,直接返回.
return document.querySelector(id);//替換$(id)為document.querySelector(id),因為瀏覽器不支持jquery庫
}
</script>
</body>
</html>
結合上面的案例說下jsonp的本質:
后臺判斷:
var cb = req.query.callback
if(cb){
res.send(cb + '('+ JSON.stringify(data) + ')');
}
場景:
A網訪問跨域的B網資源:
在A網通過給script標簽的src賦值一個網址.
例子: var script = document.createElement('script');
script.src = 'http://gaygay.com:8080/getNews?callback=appendHtml'
這個網址帶有回調的方法名.加載script腳本到B網頁,B網頁發回消息去調用在A網頁腳本里定義的回調函數.callback.
6.CORS案例
QQ20170512-220224-HD.gif
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<title>news</title>
<style>
.container{
width: 900px;
margin: 0 auto;
}
</style>
</head>
<body>
<div class="container">
<ul class="news">
<li>CORS練習</li>
<li>男雙力爭會師決賽 </li>
<li>女排將死磕巴西!</li>
</ul>
<button class="change">換一組</button>
</div>
<script>
$('.change').addEventListener('click', function(){
var xhr = new XMLHttpRequest();
xhr.open('get', 'http://b.jrg.com:8080/getNews', true);
xhr.send();
xhr.onreadystatechange = function(){
if(xhr.readyState === 4 && xhr.status === 200){
appendHtml( JSON.parse(xhr.responseText) )
}
}
window.xhr = xhr//why?
})
function appendHtml(news){
var html = '';
for( var i=0; i<news.length; i++){
html += '<li>' + news[i] + '</li>';
}
console.log(html);
$('.news').innerHTML = html;
}
function $(id){
return document.querySelector(id);
}
</script>
</html>
router.js
app.get('/getNews', function(req, res){
var news = [
"第11日前瞻:中國沖擊4金 博爾特再戰200米羽球",
"正直播柴飚/洪煒出戰 男雙力爭會師決賽",
"女排將死磕巴西!郎平安排男陪練模仿對方核心",
"沒有中國選手和巨星的110米欄 我們還看嗎?",
"中英上演奧運金牌大戰",
"博彩賠率挺中國奪回第二紐約時報:中國因對手服禁藥而丟失的獎牌最多",
"最“出柜”奧運?同性之愛閃耀里約",
"下跪拜謝與洪荒之力一樣 都是真情流露"
]
var data = [];
for(var i=0; i<3; i++){
var index = parseInt(Math.random()*news.length);
data.push(news[index]);
news.splice(index, 1);
}
res.header("Access-Control-Allow-Origin", "http://jrg.com:8080");
//res.header("Access-Control-Allow-Origin", "*");
res.send(data);
7.document.domain降域
QQ20170513-104421-HD.gif
情景:a.html里面嵌入iframe元素,且這個iframe是<iframe src="http://b.jrg.com:8080/b.html" frameborder="0" ></iframe>,而b.html就是個其中src規定顯示在 iframe 中的文檔的地址,也是絕對 URL - 指向其他站點(比如 src="www.example.com/index.html"),這里是個非同源的b.html
//a.html文件
<html>
<style>
.ct{
width: 910px;
margin: auto;
}
.main{
float: left;
width: 450px;
height: 300px;
border: 1px solid #ccc;
}
.main input{
margin: 20px;
width: 200px;
}
.iframe{
float: right;
}
iframe{
width: 450px;
height: 300px;
border: 1px dashed #ccc;
}
</style>
<div class="ct">
<h1>使用降域實現跨域</h1>
<div class="main">
<input type="text" placeholder="http://a.jrg.com:8080/a.html">
</div>
<iframe src="http://b.jrg.com:8080/b.html" frameborder="0" ></iframe>
</div>
<script>
//URL: http://a.jrg.com:8080/a.html
document.querySelector('.main input').addEventListener('input', function(){
console.log(this.value);
window.frames[0].document.querySelector('input').value = this.value;
})
document.domain = "jrg.com"http://降域關鍵代碼
</script>
</html>
//b.html
<html>
<style>
html,body{
margin: 0;
}
input{
margin: 20px;
width: 200px;
}
</style>
<input id="input" type="text" placeholder="http://b.jrg.com:8080/b.html">
<script>
document.querySelector('#input').addEventListener('input', function(){
window.parent.document.querySelector('input').value = this.value;
})
document.domain = 'jrg.com';
</script>
</html>
- window.frames[0].postMessage
//a.html文件
<html>
<style>
.ct{
width: 910px;
margin: auto;
}
.main{
float: left;
width: 450px;
height: 300px;
border: 1px solid #ccc;
}
.main input{
margin: 20px;
width: 200px;
}
.iframe{
float: right;
}
iframe{
width: 450px;
height: 300px;
border: 1px dashed #ccc;
}
</style>
<div class="ct">
<h1>使用postMessage實現跨域</h1>
<div class="main">
<input type="text" placeholder="http://a.jrg.com:8080/a.html">
</div>
<iframe src="http://localhost:8080/b.html" frameborder="0" ></iframe>
</div>
<script>
//URL: http://a.jrg.com:8080/a.html
$('.main input').addEventListener('input', function(){
console.log(this.value);
window.frames[0].postMessage(this.value,'*');//window.frames[0]是window子窗口的第一個.*代表任意地址
})
window.addEventListener('message',function(e) {
$('.main input').value = e.data
console.log(e.data);
});
//
window.addEventListener('message',function(e){
$('.mian input').value = e.data;
})
function $(id){
return document.querySelector(id);
}
</script>
</html>
//b.html文件:即被內嵌的iframe鏈接文檔url.
<html>
<style>
html,body{
margin: 0;
}
input{
margin: 20px;
width: 200px;
}
</style>
<input id="input" type="text" placeholder="http://b.jrg.com:8080/b.html">
<script>
//傳出數據到內嵌此窗口的父窗口即a.html.
$('#input').addEventListener('input', function(){
window.parent.postMessage(this.value, '*');//
//返回當前窗口的父窗口對象.如果一個窗口沒有父窗口,則它的 parent 屬性為自身的引用.
//如果當前窗口是一個 <iframe>, <object>, 或者 <frame>,則它的父窗口是嵌入它的那個窗口
})
//接收信息
window.addEventListener('message',function(e) {
$('#input').value = e.data
console.log(e.data);
});
function $(id){
return document.querySelector(id);
}
</script>
</html>
