2. 程式人生 > >js跨域

js跨域

阿新 發佈:2018-03-02
處理 用戶 pan round 相同 enc echo cnblogs lB

轉自 https://www.cnblogs.com/yongshaoye/p/7423881.html

一、了解跨域?

1 概念:只要協議、域名、端口有任何一個不同,都被當作是不同的域。

定義:跨域是指從一個域名的網頁去請求另一個域名的資源。比如從www.baidu.com 頁面去請求 www.google.com 的資源。但是一般情況下不能這麽做,它是由瀏覽器的同源策略造成的,是瀏覽器對JavaScript施加的安全限制。

所謂同源是指,域名,協議,端口均相同。這裏說的js跨域是指通過js在不同的域之間進行數據傳輸或通信,比如用ajax向一個不同的域請求數據,或者通過js獲取頁面中不同域的框架中(iframe)的數據。

請註意:localhost和127.0.0.1雖然都指向本機,但也屬於跨域。

瀏覽器執行javascript腳本時,會檢查這個腳本屬於哪個頁面,如果不是同源頁面,就不會被執行。

對於端口和協議的不同,只能通過後臺來解決。

2 例:

http://www.123.com/index.html 調用 http://www.123.com/server.PHP (非跨域)

http://www.123.com/index.html 調用 http://www.456.com/server.php (主域名不同:123/456,跨域)

http://abc.123.com/index.html 調用 http://def.123.com/server.php (子域名不同:abc/def,跨域)

http://www.123.com:8080/index.html 調用 http://www.123.com:8081/server.php (端口不同:8080/8081,跨域)

http://www.123.com/index.html 調用 https://www.123.com/server.php (協議不同:http/https,跨域)

二、為什麽瀏覽器要限制跨域訪問呢?

原因就是安全問題:如果一個網頁可以隨意地訪問另外一個網站的資源,那麽就有可能在客戶完全不知情的情況下出現安全問題。比如下面的操作就有安全問題:

  1. 用戶訪問www.mybank.com ,登陸並進行網銀操作,這時cookie啥的都生成並存放在瀏覽器
  2. 用戶突然想起件事,並迷迷糊糊地訪問了一個邪惡的網站 www.xiee.com
  3. 這時該網站就可以在它的頁面中,拿到銀行的cookie,比如用戶名,登陸token等,然後發起對www.mybank.com 的操作。
  4. 如果這時瀏覽器不予限制,並且銀行也沒有做響應的安全處理的話,那麽用戶的信息有可能就這麽泄露了。

三、為什麽要跨域?

既然有安全問題,那為什麽又要跨域呢? 有時公司內部有多個不同的子域,比如一個是location.company.com ,而應用是放在app.company.com , 這時想從 app.company.com去訪問 location.company.com 的資源就屬於跨域。

(1)跨域資源共享(CORS)

只需要在後臺中加上響應頭來允許域請求!在被請求的Response header中加入以下設置,就可以實現跨域訪問了!

//指定允許其他域名訪問
‘Access-Control-Allow-Origin:*‘//或指定域
//響應類型
‘Access-Control-Allow-Methods:GET,POST‘
//響應頭設置
‘Access-Control-Allow-Headers:x-requested-with,content-type‘

(2)通過jsonp跨域(只支持get請求,不支持其他請求方式)

JSONP的原理:通過script標簽引入一個js文件,這個js文件載入成功後會執行我們在url參數中指定的函數,並且會把我們需要的json數據作為參數傳入。所以jsonp是需要服務器端的頁面進行相應的配合的。(即用javascript動態加載一個script文件,同時定義一個callback函數給script執行而已。)

在js中,我們直接用XMLHttpRequest請求不同域上的數據時,是不可以的。但是,在頁面上引入不同域上的js腳本文件卻是可以的,jsonp正是利用這個特性來實現的。 例如:

js代碼

<script type="text/javascript">
    function dosomething(jsondata){
        //處理獲得的json數據
    }
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>

php代碼

<?php
$callback = $_GET[‘callback‘];//得到回調函數名
$data = array(‘a‘,‘b‘,‘c‘);//要返回的數據
echo $callback.‘(‘.json_encode($data).‘)‘;//輸出
?>

如果使用jquery,$.getJSON方法會自動判斷是否跨域,不跨域的話,就調用普通的ajax方法;跨域的話,則會以異步加載js文件的形式來調用jsonp的回調函數。如:

<script type="text/javascript">
    $.getJSON(http://example.com/data.php?callback=?,function(jsondata)){
        //處理獲得的json數據
    });
</script>

(3)通過修改document.domain來跨子域

瀏覽器都有一個同源策略,其限制之一就是第一種方法中我們說的不能通過ajax的方法去請求不同源中的文檔。 它的第二個限制是瀏覽器中不同域的框架之間是不能進行js的交互操作的。
不同的框架之間是可以獲取window對象的,但卻無法獲取相應的屬性和方法。比如,有一個頁面,它的地址是http://www.example.com/a.html , 在這個頁面裏面有一個iframe,它的src是http://example.com/b.html, 很顯然,這個頁面與它裏面的iframe框架是不同域的,所以我們是無法通過在頁面中書寫js代碼來獲取iframe中的東西的:

技術分享圖片 
<script type="text/javascript">
    function test(){
        var iframe = document.getElementById(‘?ifame‘);
        var win = document.contentWindow;//可以獲取到iframe裏的window對象,但該window對象的屬性和方法幾乎是不可用的
        var doc = win.document;//這裏獲取不到iframe裏的document對象
        var name = win.name;//這裏同樣獲取不到window對象的name屬性
    }
</script>
<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>

這個時候,document.domain就可以派上用場了,我們只要把http://www.example.com/a.htmlhttp://example.com/b.html這兩個頁面的document.domain都設成相同的域名就可以了。但要註意的是,document.domain的設置是有限制的,我們只能把document.domain設置成自身更高一級的父域,且主域必須相同。例如:a.b.example.com 中某個文檔的document.domain 可以設成a.b.example.com、b.example.com 、example.com中的任意一個,但是不可以設成 c.a.b.example.com,因為這是當前域的子域,也不可以設成baidu.com,因為主域已經不相同了。

1.在頁面 http://www.example.com/a.html 中設置document.domain:

技術分享圖片 
<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>
<script type="text/javascript">
    document.domain = ‘example.com‘;//設置成主域
    function test(){
        alert(document.getElementById(‘?iframe‘).contentWindow);//contentWindow 可取得子窗口的 window 對象
    }
</script>
技術分享圖片

2.在頁面 http://example.com/b.html 中也設置document.domain:

<script type="text/javascript">
    document.domain = ‘example.com‘;//在iframe載入這個頁面也設置document.domain,使之與主頁面的document.domain相同
</script>

修改document.domain的方法只適用於不同子域的框架間的交互

(4)使用window.name來進行跨域

window對象有個name屬性,該屬性有個特征:即在一個窗口(window)的生命周期內,窗口載入的所有的頁面都是共享一個window.name的,每個頁面對window.name都有讀寫的權限,window.name是持久存在一個窗口載入過的所有頁面中的,並不會因新頁面的載入而進行重置。如:

在b.html頁面上成功獲取到了它的上一個頁面a.html給window.name設置的值。如果在之後所有載入的頁面都沒對window.name進行修改的話,那麽所有這些頁面獲取到的window.name的值都是a.html頁面設置的那個值。當然,如果有需要,其中的任何一個頁面都可以對window.name的值進行修改。註意,window.name的值只能是字符串的形式,這個字符串的大小最大能允許2M左右甚至更大的一個容量,具體取決於不同的瀏覽器,但一般是夠用了。

我們用到的頁面a.html和b.html是處於同一個域的,但是即使a.html與b.html處於不同的域中,上述結論同樣是適用的,這也正是利用window.name進行跨域的原理。

js跨域

相關推薦

詳解js

-name tor adding code 填充 父域 allow mes document 什麽是跨域? 概念:只要協議、域名、端口有任何一個不同,都被當作是不同的域。 對於端口和協議的不同,只能通過後臺來解決。URL 說明

Js CORS報錯 Response for preflight has invalid HTTP status code 405

control logs web col 奇怪 flight protected protoc tex 轉自:http://www.cnblogs.com/SilenceTom/p/6697484.html 調用接口遇到Response for preflight

jsonp: js

而不是 分辨 ply eai dap ppr img lvs 字符 JSONP是JSON with padding(填充式JSON或參數式JSON)的簡寫,是應用JSON的一種新方法,常用於服務器與客戶端跨源通信,在後來的Web服務中非常流行。本文將詳細介紹JSONP  J

【轉載】Ajax JS 請求

-h 資源 pla dom light data 常用 clas json 原文: 簡單的ajax請求:http://blog.csdn.net/net_lover/article/details/5172509 復雜的ajax請求:http://blog.csdn.net

js

處理 用戶 pan round 相同 enc echo cnblogs lB 轉自 https://www.cnblogs.com/yongshaoye/p/7423881.html 一、了解跨域? 1 概念:只要協議、域名、端口有任何一個不同,都被當作是不同的域。 定義:

C# MVC js

iis服務器 .net headers 控制臺 bsp info tom protoc 服務器 js 跨域: 第一種解決方案(服務端解決跨域問題): 跨域是瀏覽器的一種安全策略,是瀏覽器自身做的限制,不允許用戶訪問不同域名或端口或協議的網站數據。 只有域名(主域名【一

js問題

字符串 r script err 周期 t對象 str 實現 col function js跨域:域名、端口、協議有一個不同便是跨域。 1.CORS CORS(Corss-Origin Resource Sharing,跨資源共享),基本思想是使用自定義的HTTP頭部讓

js請求之jsonp原理和運用

1、js請求後端服務時,域名不同或域名相同埠不同都是跨域; 2、無論哪個瀏覽器js都不能跨域請求後端服務,解決辦法為jsonp;jsonp不是新技術,只是一個解決方案;即js不請求後端服務而是跨域請求js,即跨域載入js檔案,而這個js檔案由伺服器端返回。 3、js中可以在cookie中取出

vue.js 的解決方法(轉載)

vue專案中,前端與後臺進行資料請求或者提交的時候,如果後臺沒有設定跨域,前端本地除錯程式碼的時候就會報“No 'Access-Control-Allow-Origin' header is present on the requested resource.” 這種跨域錯誤。 要想本地正常的除錯,解決

vue-cli3.x vue.config.js 配置

blog 調用 art code 頁面 port tail chang then devServer: { open: true, //瀏覽器自動打開頁面 host: "0.0.0.0", //如果是真機測試,就使用這個IP

上傳圖片截圖預覽控制元件不顯示cropper.js 問題

上傳圖片到圖片伺服器,因為域名不同,多以會有跨域問題。 No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://img.xxx.com’ is there

js訪問,No ‘Access-Control-Allow-Origin‘ header is present on

在本地用ajax跨域訪問請求時報錯:   XMLHttpRequest cannot loadhttp://www.zjblogs.com/. No 'Access-Control-Allow-Origin' header is present on the requested r

js獲取資料

目錄   一、通過jsonp跨域 2、通過修改document.domain來跨子域 3、使用window.name來進行跨域 4、使用HTML5中新引進的window.postMessage方法來跨域傳送資料 一、通過jsonp跨域 在js中,我們直接用X

JSajax訪問

方式1:jsonp解決跨域訪問 需要服務和js配合 服務   [WebMethod] public void HelloWorld2(string name) { HttpContext.Current.Response.Content

前端JS解決方案

JS跨域請求 這裡說的js跨域是指通過js在不同的域之間進行資料傳輸或通訊,比如用ajax向一個不同的域請求資料,或者通過js獲取頁面中不同域的框架中(iframe)的資料。只要協議、域名、埠有任何一個不同,都被當作是不同的域 跨域解決方案 CORS方案 COR

js訪問問題

最近在搞paas系統,paas UI微服務服務和後臺微服務的聯調,想要在ui的js中直接使用ip地址的方式(ip:port/url)獲取後臺資料。發現報錯。 後來上網看問題是瀏覽器由於安全方面的考慮,禁止這種跨域訪問。其實ajax已經從跨域將伺服器資料取回,但瀏覽器禁止了該資料的使用。所以

JS請求

跨域資源共享: JS跨域請求: 通過JS在不同的域之間進行資料傳輸或通訊 不同域: 只要協議,IP(域名),埠這三者有任何一個不同都認為是不同域 跨域測試: 在埠號為9105的工程下,在js的service層傳送請求$http.get("http://localhost:9107/

js 傳遞訊息

傳送訊息html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8">

java服務端解決js的問題 CORS(資源共享) 的配置

nginx相容跨域上傳 相容情況: 各種新版本的ie10,firefox,opera,safari,chrome以及移動版safari和Android瀏覽器 ie9及一下版本請使用flash方式來相容 通過OPTIONS請求握手一次的方式實現跨根域傳送請求,需要服務端配置

(十五)ArcGIS JS 代理proxy的配置

為什麼要使用代理proxy?     未配置代理時server傳送請求是用get的方式,請求跨域訪問或者URL長度超過瀏覽器限制時,這就需要一個代理檔案proxy來轉發請求。     Arcgis Server 10.0 由於不支援CORS,需要配置代理才能在前