使用場景：在需要在本地服務(wù)器訪問外部接口并獲取外部接口返回的數(shù)據(jù)并操作本地數(shù)據(jù)庫的情況

什么是跨域？

概念：只要協(xié)議、域名、端口有任何一個不同，都被當作是不同的域。

URL說明? ? ? 是否允許通信http://www.a.com/a.jshttp://www.a.com/b.js? ? 同一域名下? 允許http://www.a.com/lab/a.jshttp://www.a.com/script/b.js 同一域名下不同文件夾 允許http://www.a.com:8000/a.jshttp://www.a.com/b.js? ? 同一域名，不同端口? 不允許http://www.a.com/a.jshttps://www.a.com/b.js 同一域名，不同協(xié)議 不允許http://www.a.com/a.jshttp://70.32.92.74/b.js 域名和域名對應(yīng)ip 不允許http://www.a.com/a.jshttp://script.a.com/b.js 主域相同，子域不同 不允許http://www.a.com/a.jshttp://a.com/b.js 同一域名，不同二級域名（同上） 不允許（cookie這種情況下也不允許訪問）http://www.cnblogs.com/a.jshttp://www.a.com/b.js 不同域名 不允許

對于端口和協(xié)議的不同，只能通過后臺來解決。

跨域資源共享（CORS）【需要服務(wù)端進行設(shè)置】

CORS（Cross-Origin Resource Sharing）跨域資源共享，定義了必須在訪問跨域資源時，瀏覽器與服務(wù)器應(yīng)該如何溝通。CORS背后的基本思想就是使用自定義的HTTP頭部讓瀏覽器與服務(wù)器進行溝通，從而決定請求或響應(yīng)是應(yīng)該成功還是失敗。

varxhr =newXMLHttpRequest();? ? xhr.open("GET","/trigkit4",true);? ? xhr.send();

以上的trigkit4是相對路徑，如果我們要使用CORS，相關(guān)Ajax代碼可能如下所示：

varxhr =newXMLHttpRequest();? ? xhr.open("GET","http://segmentfault.com/u/trigkit4/",true);? ? xhr.send();

代碼與之前的區(qū)別就在于相對路徑換成了其他域的絕對路徑，也就是你要跨域訪問的接口地址。

服務(wù)器端對于CORS的支持，主要就是通過設(shè)置Access-Control-Allow-Origin來進行的。如果瀏覽器檢測到相應(yīng)的設(shè)置，就可以允許Ajax進行跨域的訪問。

要解決跨域的問題，我們可以使用以下幾種方法：

通過jsonp跨域【只適應(yīng)get請求】

現(xiàn)在問題來了？什么是jsonp？維基百科的定義是：JSONP（JSON with Padding）是資料格式JSON的一種“使用模式”，可以讓網(wǎng)頁從別的網(wǎng)域要資料。

JSONP也叫填充式JSON，是應(yīng)用JSON的一種新方法，只不過是被包含在函數(shù)調(diào)用中的JSON，例如：

callback({"name","trigkit4"});

JSONP由兩部分組成：回調(diào)函數(shù)和數(shù)據(jù)。回調(diào)函數(shù)是當響應(yīng)到來時應(yīng)該在頁面中調(diào)用的函數(shù)，而數(shù)據(jù)就是傳入回調(diào)函數(shù)中的JSON數(shù)據(jù)。

在js中，我們直接用XMLHttpRequest請求不同域上的數(shù)據(jù)時，是不可以的。但是，在頁面上引入不同域上的js腳本文件卻是可以的，jsonp正是利用這個特性來實現(xiàn)的。 例如：

functiondosomething(jsondata){//處理獲得的json數(shù)據(jù)}

js文件載入成功后會執(zhí)行我們在url參數(shù)中指定的函數(shù)，并且會把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進行相應(yīng)的配合的。

最終，輸出結(jié)果為：dosomething(['a','b','c']);

如果你的頁面使用jquery，那么通過它封裝的方法就能很方便的來進行jsonp操作了。

$.getJSON('http://example.com/data.php?callback=?,function(jsondata)'){//處理獲得的json數(shù)據(jù)});

jquery會自動生成一個全局函數(shù)來替換callback=?中的問號，之后獲取到數(shù)據(jù)后又會自動銷毀，實際上就是起一個臨時代理函數(shù)的作用。$.getJSON方法會自動判斷是否跨域，不跨域的話，就調(diào)用普通的ajax方法；跨域的話，則會以異步加載js文件的形式來調(diào)用jsonp的回調(diào)函數(shù)。

JSONP的優(yōu)缺點

JSONP的優(yōu)點是：它不像XMLHttpRequest對象實現(xiàn)的Ajax請求那樣受到同源策略的限制；它的兼容性更好，在更加古老的瀏覽器中都可以運行，不需要XMLHttpRequest或ActiveX的支持；并且在請求完畢后可以通過調(diào)用callback的方式回傳結(jié)果。

JSONP的缺點則是：它只支持GET請求而不支持POST等其它類型的HTTP請求；它只支持跨域HTTP請求這種情況，不能解決不同域的兩個頁面之間如何進行JavaScript調(diào)用的問題。

CORS和JSONP對比

CORS與JSONP相比，無疑更為先進、方便和可靠。

1、 JSONP只能實現(xiàn)GET請求，而CORS支持所有類型的HTTP請求。

2、 使用CORS，開發(fā)者可以使用普通的XMLHttpRequest發(fā)起請求和獲得數(shù)據(jù)，比起JSONP有更好的錯誤處理。

3、 JSONP主要被老的瀏覽器支持，它們往往不支持CORS，而絕大多數(shù)現(xiàn)代瀏覽器都已經(jīng)支持了CORS）。

通過修改document.domain來跨子域

瀏覽器都有一個同源策略，其限制之一就是第一種方法中我們說的不能通過ajax的方法去請求不同源中的文檔。 它的第二個限制是瀏覽器中不同域的框架之間是不能進行js的交互操作的。

不同的框架之間是可以獲取window對象的，但卻無法獲取相應(yīng)的屬性和方法。比如，有一個頁面，它的地址是http://www.example.com/a.html， 在這個頁面里面有一個iframe，它的src是http://example.com/b.html, 很顯然，這個頁面與它里面的iframe框架是不同域的，所以我們是無法通過在頁面中書寫js代碼來獲取iframe中的東西的：

functiontest(){variframe =document.getElementById('ifame');varwin =document.contentWindow;//可以獲取到iframe里的window對象，但該window對象的屬性和方法幾乎是不可用的vardoc = win.document;//這里獲取不到iframe里的document對象varname = win.name;//這里同樣獲取不到window對象的name屬性}

這個時候，document.domain就可以派上用場了，我們只要把http://www.example.com/a.html和http://example.com/b.html這兩個頁面的document.domain都設(shè)成相同的域名就可以了。但要注意的是，document.domain的設(shè)置是有限制的，我們只能把document.domain設(shè)置成自身或更高一級的父域，且主域必須相同。

1.在頁面http://www.example.com/a.html中設(shè)置document.domain:

document.domain ='example.com';//設(shè)置成主域functiontest(){? ? ? ? alert(document.getElementById('iframe').contentWindow);//contentWindow 可取得子窗口的 window 對象}

2.在頁面http://example.com/b.html中也設(shè)置document.domain:

document.domain ='example.com';//在iframe載入這個頁面也設(shè)置document.domain，使之與主頁面的document.domain相同

修改document.domain的方法只適用于不同子域的框架間的交互。

使用window.name來進行跨域

window對象有個name屬性，該屬性有個特征：即在一個窗口(window)的生命周期內(nèi),窗口載入的所有的頁面都是共享一個window.name的，每個頁面對window.name都有讀寫的權(quán)限，window.name是持久存在一個窗口載入過的所有頁面中的

使用HTML5的window.postMessage方法跨域【需要外部服務(wù)端設(shè)置】

window.postMessage(message,targetOrigin)方法是html5新引進的特性，可以使用它來向其它的window對象發(fā)送消息，無論這個window對象是屬于同源或不同源，目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經(jīng)支持window.postMessage方法。

【個人處理方式】

流程：頁面發(fā)送ajax請求到本地服務(wù)器的controller，本地根據(jù)頁面的請求參數(shù)獲取對應(yīng)的外部接口所需的數(shù)據(jù)；然后通過自定義的公共post方法向目的服務(wù)器發(fā)送請求，并根據(jù)請求的結(jié)果做相應(yīng)的操作。

前臺jsp頁面

js:

本地后臺處理：

/**

* 1、新增培訓機構(gòu)接口

* @param req

* @return

*/

@RequestMapping(value="/upLoadInstitution")

@ResponseBody

public JSONObject upLoadInstitution( HttpServletRequest req){

PageData pd=this.getPageData();

System.out.println("接收到的參數(shù)："+pd);

JSONObject node = new JSONObject();

String url=Const.TEST_ALL_COUNTRY_HTTP_URL+"institution";

System.out.println("URL="+url);

String v=Const.VERSION;

Long ts=DateUtil.getTimeStamp();

String user="1540D4F7194";

String sign_data="";

String sign="";

//根據(jù)駕校id獲取駕校數(shù)據(jù)信息

if(pd!=null){

if(pd.getString("schoolid")!=null){

try {

pd=driverSchoolService.findUploadBySchoolId(pd);

System.out.println("上傳駕校信息="+pd);

sign_data=JSONObject.fromObject(pd).toString();

PrivateKey key=UploadUtil.readPfx();

sign=UploadUtil.sign(sign_data, ts, key);

} catch (Exception e) {

// TODO Auto-generated catch block

e.printStackTrace();

}

}

}

try {

node.put("v", v);

node.put("ts", ts);

node.put("sign", sign);

node.put("user", user);

} catch (JSONException e1){

e1.printStackTrace();

}

JSONObject data=post(url,node);

return data;

}

/**

* 【公共方法】POST方式向目的服務(wù)器發(fā)送請求方法

* @param url

* @param node

* @return

*/

public JSONObject post(String url,JSONObject node){

URL connect;

StringBuffer data=new StringBuffer();

JSONObject obj=null;

try {

connect = new URL(url);

HttpURLConnection connection = (HttpURLConnection)connect.openConnection();

connection.setRequestMethod("POST");

connection.setDoOutput(true);

connection.setRequestProperty("Content-Type", "application/json");

OutputStreamWriter paramout = new OutputStreamWriter(

connection.getOutputStream(),"UTF-8");

paramout.write(node.toString());

paramout.flush();

BufferedReader reader = new BufferedReader(new InputStreamReader(

connection.getInputStream(), "UTF-8"));

String line;

while ((line = reader.readLine()) != null) {

data.append(line);

System.out.println("返回值："+data);

obj=JSONObject.fromObject(data.toString());

}

paramout.close();

reader.close();

} catch (Exception e) {

e.printStackTrace();

}

return obj;

}