Section1、為什么要跨域？

自古以來（1995年起），為了用戶的信息安全，瀏覽器就引入了同源策略。那么同源策略是如何保證用戶的信息安全的呢？

栗子1：如果沒有同源策略，你打開了你的銀行賬戶頁面A，又打開了另一個(gè)不相關(guān)的頁面B，這時(shí)候如果B是惡意網(wǎng)站，B可以通過Javascript輕松訪問和修改A頁面中的內(nèi)容。

栗子2：現(xiàn)在我們廣泛的使用cookie來維護(hù)用戶的登錄狀態(tài)，而如果沒有同源策略，這些cookie信息就會泄露，其他網(wǎng)站就可以冒充這個(gè)登錄用戶。

由此可以看出，同源策略確實(shí)是必不可少的，那么它會帶來哪些限制呢？

1、Cookie、LocalStorage和IndexDB無法讀取。

2、DOM無法獲得。

3、AJAX請求不能發(fā)送。

有時(shí)候我們需要突破上述限制，就需要用跨域的方法來解決。

Section2、跨域是什么？

什么叫做不同的域？比如：

http://www.a.com:8000/a.js協(xié)議（http）、域名（www.a.com）、端口（8000）三者中有一個(gè)不同就叫不同的域。

跨域就是不同的域間相互訪問時(shí)使用某些方法來突破上述限制。

【注意：協(xié)議或者端口的不同，只能通過后臺來解決。】

Section3、怎么跨域？

一、解決Section1中提到的1、2兩點(diǎn)限制：

1.Cookie、LocalStorage和IndexDB無法讀取。2.DOM無法獲得。

方法1、通過document.domain跨子域

【適用范圍：（1）兩個(gè)域只是子域不同；（2）只適用于iframe窗口與父窗口之間互相獲取cookie和DOM節(jié)點(diǎn)，不能突破LocalStorage和IndexDB的限制。】

當(dāng)兩個(gè)不同的域只是子域不同時(shí)，可以通過把document.domain設(shè)置為他們共同的父域來解決。

栗子：

A: [http://www.example.com/a.html(http://www.example.com/a.html)B: http://example.com/b.html當(dāng)A、B想要獲取對方的**cookie或者DOM節(jié)點(diǎn)時(shí)可以設(shè)置:document.domain='example.com';來解決。

這時(shí)A網(wǎng)頁通過腳本設(shè)置:document.cookie = "testA=hello";B網(wǎng)頁就可以拿到這個(gè)cookie：

var aCookie = document.cookie;

方法2、通過window.name跨域

【適用范圍：（1）可以是兩個(gè)完全不同源的域；（2）同一個(gè)窗口內(nèi)：即同一個(gè)標(biāo)簽頁內(nèi)先后打開的窗口。】

pre-condition：

window.name屬性有個(gè)特征：即在一個(gè)窗口(window)的生命周期內(nèi),窗口載入的所有的頁面都是共享一個(gè)window.name的，每個(gè)頁面對window.name都有讀寫的權(quán)限，window.name是持久存在一個(gè)窗口載入過的所有頁面中的。

基于這個(gè)思想，我們可以在某個(gè)頁面設(shè)置好 window.name 的值，然后在本標(biāo)簽頁內(nèi)跳轉(zhuǎn)到另外一個(gè)域下的頁面。在這個(gè)頁面中就可以獲取到我們剛剛設(shè)置的 window.name 了。

結(jié)合iframe還有更高級的用法：

父窗口先打開一個(gè)與自己不同源的子窗口，在這個(gè)子窗口里設(shè)置：

window.name = data;

然后讓子窗口跳轉(zhuǎn)到一個(gè)與父窗口同域的網(wǎng)址：

location='http://www.parent.com/a.html';

這時(shí)，因?yàn)橥虿⑶彝淮翱趙indow.name是不變的，所以父窗口可以獲取到子窗口下的window.name。

var data = document.getElementById('myFrame').contentWindow.name;

優(yōu)點(diǎn)：window.name容量很大，可以放置非常長的字符串；缺點(diǎn)：必須監(jiān)聽子窗口window.name屬性的變化，影響網(wǎng)頁性能。

方法3、使用HTML5的window.postMessage跨域

window.postMessage(message,targetOrigin) 方法是html5新引進(jìn)的特性，可以使用它來向其它的window對象發(fā)送消息，無論這個(gè)window對象是屬于同源或不同源，目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經(jīng)支持window.postMessage方法。

otherWindow.postMessage(message, targetOrigin);

otherWindow:接受消息頁面的window的引用。可以是頁面中iframe的contentWindow屬性；window.open的返回值；通過name或下標(biāo)從window.frames取到的值。

message:所要發(fā)送的數(shù)據(jù)，string類型。

targetOrigin:用于限制otherWindow，*表示不做限制。

栗子1：

在父頁面中嵌入子頁面，通過postMessage發(fā)送數(shù)據(jù)。parent.com/index.html中的代碼：

window.onload = function() {

var ifr = document.getElementById('ifr');

var targetOrigin = 'http://child.com';

// 若寫成'http://child.com/c/proxy.html'效果一樣

// 若寫成'http://c.com'就不會執(zhí)行postMessage了

ifr.contentWindow.postMessage('I was there!', targetOrigin);

};

在子頁面中通過message事件監(jiān)聽父頁面發(fā)送來的消息并顯示。child.com/index.html中的代碼：

window.addEventListener('message', function(event){

// 通過origin屬性判斷消息來源地址

if (event.origin == 'http://parent.com') {

alert(event.data); // 彈出"I was there!"

alert(event.source);

// 對parent.com、index.html中window對象的引用

// 但由于同源策略，這里event.source不可以訪問window對象

}

}, false);

栗子2：

假設(shè)在a.html里嵌套個(gè)

在這兩個(gè)頁面里互相通信

a.html

window.onload = function() {

window.addEventListener("message", function(e) {

alert(e.data);

});

window.frames[0].postMessage("b data", "http://www.child.com/b.html");

}

b.html

window.onload = function() {

window.addEventListener("message", function(e) {

alert(e.data);

});

window.parent.postMessage("a data", "http://www.parent.com/a.html");

}

這樣打開a頁面，首先監(jiān)聽到了b.html通過postMessage傳來的消息，就先彈出 a data，然后a通過postMessage傳遞消息給子頁面b.html，這時(shí)會彈出 b data。

二、解決第3點(diǎn)限制：

3）AJAX請求不能發(fā)送。

方法4、通過JSONP跨域

【適用范圍：（1）可以是兩個(gè)完全不同源的域；（2）只支持HTTP請求中的GET方式；（3）老式瀏覽器全部支持；（4）需要服務(wù)端支持】

JSONP(JSON with Padding)是資料格式JSON的一種使用模式，可以讓網(wǎng)頁從別的網(wǎng)域要資料。

由于瀏覽器的同源策略，在網(wǎng)頁端出現(xiàn)了這個(gè)“跨域”的問題，然而我們發(fā)現(xiàn)，所有的 src 屬性并沒有受到相關(guān)的限制，比如 img / script 等。

JSONP 的原理就要從 script 說起。script 可以引用其他域的腳本文件，比如這樣：

a.html

...

function callback(data) {

console.log(data.url)

}

...

b.js

callback({url: 'http://www.rccoder.net'})

這就類似于JSONP的原理了。

JSONP的基本思想是：先在網(wǎng)頁上添加一個(gè)script標(biāo)簽，設(shè)置這個(gè)script標(biāo)簽的src屬性用于向服務(wù)器請求JSON數(shù)據(jù) ，需要注意的是，src屬性的查詢字符串一定要加一個(gè)callback函數(shù)，用來指定回調(diào)函數(shù)的名字 。而這個(gè)函數(shù)是在資源加載之前就已經(jīng)在前端定義好的，這個(gè)函數(shù)接受一個(gè)參數(shù)并利用這個(gè)參數(shù)做一些事情。向服務(wù)器請求后，服務(wù)器會將JSON數(shù)據(jù)放在一個(gè)指定名字的回調(diào)函數(shù)里作為其參數(shù)傳回來。這時(shí)，因?yàn)楹瘮?shù)已經(jīng)在前端定義好了，所以會直接調(diào)用。

一個(gè)栗子：

function addScriptTag(src) {

var script = document.createElement('script');

script.setAttribute("type","text/javascript");

script.src = src;

document.body.appendChild(script);

}

window.onload = function () {

addScriptTag('http://example.com/ip?callback=foo');//請求服務(wù)器數(shù)據(jù)并規(guī)定回調(diào)函數(shù)為foo

}

function foo(data) {

console.log('Your public IP address is: ' + data.ip);

};

向服務(wù)器example.com請求數(shù)據(jù)，這時(shí)服務(wù)器會先生成JSON數(shù)據(jù)，這里是{"ip": "8.8.8.8"}，然后以JS語法的方式生成一個(gè)函數(shù)，函數(shù)名就是傳遞上來的callback參數(shù)的值，最后將數(shù)據(jù)放在函數(shù)的參數(shù)中返回：

foo({

"ip": "8.8.8.8"

});

客戶端解析script標(biāo)簽，執(zhí)行返回的JS代碼，調(diào)用函數(shù)。

方法5、通過CORS跨域

【適用范圍：（1）可以是兩個(gè)完全不同源的域；（2）支持所有類型的HTTP請求；（3）被絕大多數(shù)現(xiàn)代瀏覽器支持，老式瀏覽器不支持；（4）需要服務(wù)端支持】

對于前端開發(fā)者來說，跨域的CORS通信與同源的AJAX通信沒有差別，代碼完全一樣。因此，實(shí)現(xiàn)CORS通信的關(guān)鍵是服務(wù)器。只要服務(wù)器實(shí)現(xiàn)了CORS接口，就可以跨源通信。

瀏覽器將CORS請求分成兩類：簡單請求（simple request）和非簡單請求（not-so-simple request）。

只要同時(shí)滿足以下兩大條件，就屬于簡單請求。

（1) 請求方法是以下三種方法之一：

HEAD

GET

POST

（2）HTTP的頭信息不超出以下幾種字段：

Accept

Accept-Language

Content-Language

Last-Event-ID

Content-Type：只限于三個(gè)值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同時(shí)滿足上面兩個(gè)條件，就屬于非簡單請求。瀏覽器對這兩種請求的處理，是不一樣的。

簡單請求：

下面是一次跨源AJAX請求，瀏覽器發(fā)現(xiàn)它是簡單請求，就會直接在頭信息中加一個(gè)origin字段：

GET /cors HTTP/1.1

Origin: http://api.bob.com

Host: api.alice.com

Accept-Language: en-US

Connection: keep-alive

User-Agent: Mozilla/5.0...

服務(wù)器收到這條請求，如果這個(gè)origin指定的源在許可范圍內(nèi)，那么服務(wù)器返回的頭信息中會包含Access-Control-Allow-Origin字段，值與origin的值相同，以及其他幾個(gè)相關(guān)字段：

Access-Control-Allow-Origin: http://api.bob.com

Access-Control-Allow-Credentials: true

Access-Control-Expose-Headers: FooBar

Access-Control-Allow-Origin: 該字段是必須的。要么與origin相同，要么為*

Access-Control-Allow-Credentials: 該字段可選。設(shè)為true表示服務(wù)器允許發(fā)送cookie

Access-Control-Expose-Headers: 該字段可選。CORS請求時(shí)，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個(gè)基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader('FooBar')可以返回FooBar字段的值。

想要發(fā)送cookie，這里還有兩點(diǎn)需要額外注意：

1）開發(fā)者必須在AJAX請求中打開withCredentials屬性。

var xhr = new XMLHttpRequest();

xhr.withCredentials = true;

否則即使服務(wù)器允許，客戶端也不會發(fā)送。

2）Access-Control-Allow-Origin不能設(shè)為星號，必須指定明確的、與請求網(wǎng)頁一致的域名。同時(shí)，Cookie依然遵循同源政策，只有用服務(wù)器域名設(shè)置的Cookie才會上傳，其他域名的Cookie并不會上傳，且（跨源）原網(wǎng)頁代碼中的document.cookie也無法讀取服務(wù)器域名下的Cookie。

非簡單請求：

1.預(yù)檢請求：

非簡單請求會在正式通信前加一次預(yù)檢（preflight）請求。作用是瀏覽器先詢問服務(wù)器當(dāng)前網(wǎng)頁所在域名是否在服務(wù)器的許可名單中，以及可以使用哪些HTTP方法以及頭信息字段。只有得到肯定答復(fù)，瀏覽器才會發(fā)送XMLHttpRequest，否則報(bào)錯(cuò)。

OPTIONS /cors HTTP/1.1

Origin: http://api.bob.com

Access-Control-Request-Method: PUT

Access-Control-Request-Headers: X-Custom-Header

Host: api.alice.com

Accept-Language: en-US

Connection: keep-alive

User-Agent: Mozilla/5.0...

請求方法是OPTIONS，表示這個(gè)請求是用來詢問的，頭信息中的關(guān)鍵信息有3個(gè)：

（1）表示請求來自哪個(gè)源

Origin: http://api.bob.com

（2）列出瀏覽器的CORS請求會用到哪些HTTP方法

Access-Control-Request-Method: PUT

（3）指定瀏覽器CORS請求會額外發(fā)送的頭信息字段

Access-Control-Request-Headers: X-Custom-Header

2.預(yù)檢請求的回應(yīng)（有兩種情況：A允許、B不允許）

A.服務(wù)器允許這次跨域請求

HTTP/1.1 200 OK

Date: Mon, 01 Dec 2008 01:15:39 GMT

Server: Apache/2.0.61 (Unix)

Access-Control-Allow-Origin: http://api.bob.com

Access-Control-Allow-Methods: GET, POST, PUT

Access-Control-Allow-Headers: X-Custom-Header

Content-Type: text/html; charset=utf-8

Content-Encoding: gzip

Content-Length: 0

Keep-Alive: timeout=2, max=100

Connection: Keep-Alive

Content-Type: text/plain

Access-Control-Allow-Credentials: true

Access-Control-Max-Age: 1728000

服務(wù)器返回中要注意的字段：

（1）服務(wù)器同意的跨域請求源：

Access-Control-Allow-Origin: http://api.bob.com

（2）服務(wù)器支持的所有跨域請求的方法：

Access-Control-Allow-Methods: GET, POST, PUT

（3）表明服務(wù)器支持的所有頭信息字段：

Access-Control-Allow-Headers: X-Custom-Header

（4）指定本次預(yù)檢請求的有效期，單位為秒，即允許請求該條回應(yīng)在有效期之前都不用再發(fā)送預(yù)檢請求：

Access-Control-Max-Age: 1728000

B.服務(wù)器不允許這次跨域請求即origin指定的源不在許可范圍內(nèi)，服務(wù)器會返回一個(gè)正常的HTTP回應(yīng)。但是頭信息中沒有包含Access-Control-Allow-Origin字段，就知道出錯(cuò)了，從而拋出一個(gè)錯(cuò)誤，被XMLHttpRequest的onerror回調(diào)函數(shù)捕獲。但是要注意的是，這種HTTP回應(yīng)的狀態(tài)碼很有可能是200，所以無法通過狀態(tài)碼識別這種錯(cuò)誤。

3.正式請求過了預(yù)檢請求，非簡單請求的正式請求就與簡單請求一樣了。