博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
JavaScript中的跨域详解(一)
阅读量:5059 次
发布时间:2019-06-12

本文共 4446 字,大约阅读时间需要 14 分钟。

同源策略

所谓的同源策略,指的是浏览器对不同源的脚本或者文本访问方式进行的限制。所谓同源,就是指两个页面具有相同的协议,主机(也常说域名),端口,三个要素缺一不可。同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。如果一个用户在登陆一个网站之后又去访问其他网站,如果其他网站可以读取上一个网站的cookie,就会导致个人信息泄露。

限制范围

随着互联网的发展,"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制:1、cookie、localstorage、indexDB(IndexedDB 是一种低级API,用于客户端存储大量结构化数据(包括, 文件/ blobs)。该API使用索引来实现对该数据的高性能搜索。)无法读取2、DOM无法获得。3、AJAX请求不能发送。

规避措施

1、cookie

Cookie是服务器写入浏览器的一小段信息,只有同源的网页才能共享,但是两个网页只有一级域名相同,只是二级域名不同,浏览器允许通过设置document.domain共享Cookie。举例来说,A,http://w1.example.com/a.html B,http://w2.example.com/b.html,那么只要设置相同的document.domain,两个网页就可以共享Cookie。document.domain='example.com'A通过脚本设置一个Cookie:document.cookie='text=hello'B网页就可以读到这个Cookie。var allCookie=document.cookie;
  • 这种方法只适用于Cookie和iframe窗口,LocalStorage和IndexDB无法通过这种方法,规避同源政策。需要使用PostMessage API。另外,服务器也可以在设置Cookie的所属域名为一级域名,比如:.example.com。
    Set-Cookie:key=value;domain=.example.com; path=/
    这样的话,二级域名和三级域名不用做任何设置都可以读取这个Cookie。

2、iframe

如果两个网页不同源,就无法拿到对方的DOM。典型的例子是iframe窗口和window.open方法打开的窗口,他们与父窗口无法通信。比如,父窗口运行下面的命令,如果iframe不同源就会导致错误,document.getElementById('myIframe').contentWindow.document,上面的命令中,父窗口想获取子窗口的DOM,因为跨源导致报错。反之亦然。如果两个完全不同源的网站,目前有三种方法,可以解决跨域窗口的通信问题。1、片段识别符(fragment identifier)2、window.name3、跨文档通信API(Cross-document messaging)
  • 片段识别符
    指的是URL的#号后面的部分,比如 。
    var src=originURL+'#'+data;
    document.getElementById('myIFrame')
    子窗口通过监听hashchange事件得到通知。
    window.οnhashchange=checkMessage;
    function checkMessage(){
    var message=window.location.hash;
    }
    同样的,子窗口也可以改变父窗口的片段标识符。
    parent.location.href=target+'#'+data;
  • window.name
    浏览器窗口有window.name属性,这个属性的最大特点是,无论是否同源,只要在同一个窗口,前一个网页设置了这个属性,后一个网页就可以读取他。
    父窗口先打开一个子窗口,载入一个不同源的网页,该网页将信息写入window.name属性。
    window.name = data;
    接着,子窗口跳回一个与主窗口同域的网址。
    location = '';
    然后,主窗口就可以读取子窗口的window.name了。
    var data = document.getElementById('myFrame').contentWindow.name;
    这种方法的优点是,window.name容量很大,可以放置非常长的字符串;缺点是必须监听子窗口window.name属性的变化,影响网页性能。

  • window.postMessage

    上面两种方法都属于破解,HTML5为了解决这个问题,引入了一个全新的API:跨文档通信 API(Cross-document messaging)。
    这个API为window对象新增了一个window.postMessage方法,允许跨窗口通信,不论这两个窗口是否同源。
    举例来说,父窗口http://aaa.com向子窗口http://bbb.com发消息,调用postMessage方法就可以了。

    var popup = window.open('', 'title');

    popup.postMessage('Hello World!', '');
    postMessage方法的第一个参数是具体的信息内容,第二个参数是接收消息的窗口的源(origin),即"协议 + 域名 + 端口"。也可以设为*,表示不限制域名,向所有窗口发送。
    子窗口向父窗口发送消息的写法类似。

    window.opener.postMessage('Nice to see you', '');

    父窗口和子窗口都可以通过message事件,监听对方的消息。

    window.addEventListener('message', function(e) {

    console.log(e.data);
    },false);
    message事件的事件对象event,提供以下三个属性。
    event.source:发送消息的窗口
    event.origin: 消息发向的网址
    event.data: 消息内容
    下面的例子是,子窗口通过event.source属性引用父窗口,然后发送消息。

    window.addEventListener('message', receiveMessage);  function receiveMessage(event) {    event.source.postMessage('Nice to see you!', '*');  }

    event.origin属性可以过滤不是发给本窗口的消息。

    window.addEventListener('message', receiveMessage);  function receiveMessage(event) {    if (event.origin !== 'http://aaa.com') return;    if (event.data === 'Hello World') {        event.source.postMessage('Hello', event.origin);    } else {      console.log(event.data);    }  }

3、LocalStorage

通过window.postMessage,读写其他窗口的 LocalStorage 也成为了可能。下面是一个例子,主窗口写入iframe子窗口的localStorage。
window.onmessage = function(e) {  if (e.origin !== 'http://bbb.com') {    return;  }  var payload = JSON.parse(e.data);  localStorage.setItem(payload.key, JSON.stringify(payload.data));};
上面代码中,子窗口将父窗口发来的消息,写入自己的LocalStorage。父窗口发送消息的代码如下。
var win = document.getElementsByTagName('iframe')[0].contentWindow;var obj = { name: 'Jack' };win.postMessage(JSON.stringify({key: 'storage', data: obj}), 'http://bbb.com');
加强版的子窗口接收消息的代码如下。

window.onmessage = function(e) { if (e.origin !== 'http://bbb.com') return; var payload = JSON.parse(e.data); switch (payload.method) { case 'set': localStorage.setItem(payload.key, JSON.stringify(payload.data)); break; case 'get': var parent = window.parent; var data = localStorage.getItem(payload.key); parent.postMessage(data, 'http://aaa.com'); break; case 'remove': localStorage.removeItem(payload.key); break; } };

加强版的父窗口发送消息代码如下。

var win = document.getElementsByTagName('iframe')[0].contentWindow;    var obj = { name: 'Jack' };    // 存入对象    win.postMessage(JSON.stringify({key: 'storage', method: 'set', data: obj}), 'http://bbb.com');    // 读取对象    win.postMessage(JSON.stringify({key: 'storage', method: "get"}), "*");    window.onmessage = function(e) {      if (e.origin != 'http://aaa.com') return;      // "Jack"      console.log(JSON.parse(e.data).name);    };

转载于:https://www.cnblogs.com/Juphy/p/6978812.html

你可能感兴趣的文章
iOS开发——缩放图片
查看>>
HTTP之URL的快捷方式
查看>>
满世界都是图论
查看>>
配置链路聚合中极小错误——失之毫厘谬以千里
查看>>
代码整洁
查看>>
蓝桥杯-分小组-java
查看>>
Java基础--面向对象编程1(类与对象)
查看>>
Android Toast
查看>>
iOS开发UI篇—Quartz2D使用(绘制基本图形)
查看>>
docker固定IP地址重启不变
查看>>
桌面图标修复||桌面图标不正常
查看>>
JavaScript基础(四)关于对象及JSON
查看>>
关于js sort排序方法
查看>>
JAVA面试常见问题之Redis篇
查看>>
javascript:二叉搜索树 实现
查看>>
网络爬虫Heritrix源码分析(一) 包介绍
查看>>
__int128的实现
查看>>
Problem - 1118B - Codeforces(Tanya and Candies)
查看>>
jdk1.8 api 下载
查看>>
svn 图标不显示
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2024-11-15 09:08:08   当前IP: 3.135.198.231   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我