同源策略、跨域、jsonp

2016-07-24 本文已影响49人 INTERNALENVY

1.什么是同源策略

同源是指协议、域名以及端口相同。
同源策略是在没有明确授权的情况下，源内的脚本不能读写非同源的数据。

2.什么是跨域？跨域有几种实现形式

跨域就是从一个域名的网页去请求另一个域名的网页的资源。

降域：使用例如document.domian='a.com'，并且两者基础的域名需要相同，例如child.a.com和xxx.a.com，此外降域只能从较长的域名降级为较短而不能再反过来变长。例如child.a.com了一降为a.com而不能从a.com降为child.a.com。
JSONP：原理是利用<script>标签没有跨域限制的功能，来达到与第三方通讯的目的。当需要通讯时，本站建立一个<script>元素，地址指向第三方网址，例如<script src="a.com/?callback=function">，并提供回掉函数来接收数据。第三方提供的响应为JSON数据的包装（故称之为JSONP）例如data({"name","frank","age","24"}),这样浏览器会调用callback函数，并传递解析后的JSON对象作为参数，本站的脚本可在callback函数里处理所传入的数据。
CORS：Access-Control-Allow-Origin的缩写。假设服务器A（a.com）在响应头中加上Access-Control-Allow-Origin:*，其他客户端就能向服务器A发送跨域请求。在这里，加上响应头的是需要被跨域访问的资源本身，而不是发送跨域请求的主体——文档。
postmessage（）：postMessage()方法允许来自不同源的脚本采用异步方式进行有限的通信，可以实现跨文本档、多窗口、跨域消息传递。postMessage(data,origin)方法接受两个参数，data是要传递的数据，origin是目标的源，协议+主机（这里应该是指域名吧）+端口号

参考：http://www.cnblogs.com/dolphinX/p/3464056.html
hash：原理是利用location.hash来进行传值。
window.name:利用window.name+iframe。
以上两者不常用，故不做过多介绍
参考：http://blog.csdn.net/joyhen/article/details/21631833