有关跨域的总结和实际应用

2017-07-24  本文已影响0人  追风的云月

首先说一下跨域的起因——同源策略:

同源策略限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。(来自MDN官方文档的解释)

源的概念:源由协议、域名和端口构成。

同源的限制:无法读取不同源的cookie、不能获取不同源的DOM,不能进行ajax请求。

前后端如何通信:Ajax、websocket、CORS。

JSONP

JSONP是被包含在函数中调用的JSON,由回调函数和数据组成。回调函数的名字一般在请求中指定,而数据就是传入回调函数的JSON数据。
一个请求天气的公共接口的demo,使用方式如下:

function handleResponse(response){
    console.log(response)
}
var script = document.createElement("script");
script.src = "http://v.juhe.cn/weather/index?format=2&cityname=%E8%8B%8F%E5%B7%9E&callback=handleResponse";
document.body.insertBefore(script, document.body.firstChild);

原理在于script标签的src属性具有跨域功能(同理有link和img)
其实为什么一定是动态创建Script标签,再添加至body中,我曾经思考过一下,其实主要原因是因为这样创建的 script 是异步加载的,加载过程中不会阻塞 DOM 树的解析和其他脚本的执行。对于外部的script基本都是动态访问,不然极有可能因为获取数据而延缓页面加载速度。

JSONP是只能实现GET请求的。

跨域资源共享(CORS)

跨域请求:服务端设置Access-Control-Allow-Origin,前端无须设置,如果是带cookie请求:前后端都需要设置。

postMessage

H5中的方法

window.postMessage("some data","www.b.com")

B窗口中监听

window.addEventListener('message',function(event){
    console.log(event.origin);  
    console.log(event.source);
    console.log(event.data);
},false)

Hash

hash的变化不会导致页面的刷新,A改变B的hash,B中监听hash的改变然后获取。
窗口A中嵌入了一个跨域的窗口B

var Awindow=window;
var Bwidow=document.getElementByTagName("iframe");
Bwidow.src=Bwidow.src+"#"+"some data";
//在B窗口中监听hash是否改变
window.onhashchange=function(){
    var data=window.location.hash
    //这里注意hash获取的是所有请求参数,如果要得到传递的hash需要去掉无关的参数
}

WebSocket

在系统A中登录另一个系统B

首先这两个系统肯定是跨域了,其次必须将系统A中的cookie传递到系统B,项目中的解决办法是使用form提交。
form提交本身是不跨域的,这里需要解读一下同源策略,浏览器不允许跨域获取数据和DOM,但是form提交到另一个域名后,原页面的脚本根本无法获取新页面的内容,所以浏览器认为这是安全的,并且允许这种行为。

function loginStystemB(data){
    var loginForm=document.getElementById("loginFormName");
    if(loginForm!=undefined){
        document.getElementById("loginFormName").value=data;
    }else{
        // 创建一个 form 
        var loginForm= document.createElement("form"); 
        loginForm.id = "loginFormName"; 
        loginForm.name = "loginFormName"; 
        document.body.appendChild(loginForm); 
        var input = document.createElement("input"); 
        input.type = "hidden"; 
        input.name = "post_name"; 
        input.id= "post_name";这里id和value是与系统B的后台约定的接收参数名
        input.value = data; 
        loginForm.appendChild(input); 
        loginForm.method = "POST"; 
        loginForm.action = url; 
    }
    loginForm.submit(); 
}
上一篇 下一篇

猜你喜欢

热点阅读