安科网

javascript跨域解决方案(一)

qianwenjie

qianwenjie

2015-05-05

关注 关注

1、神马是跨域(Cross Domain)

说白点就是post、get的url不是你当前的网站,域名不同。例如在aaa.com/a.html里面,表单的提交action是bbb.com/b.html。

不仅如此,www.aaa.com和aaa.com之间也属于跨域,因为www.aaa.com是二级域名,aaa.com是根域名。

JavaScript出于安全方面的考虑,是不允许跨域调用其他页面的对象的(同源策略 Same-Origin Policy)。

javascript跨域解决方案(一)

javascript跨域解决方案(一)

关于JavaScript能否跨域通信的详细说明,见下表:

http://www.a.com/a.js访问以下URL的结果

URL 说明 是否允许通信

http://www.a.com/b.js同一域名下允许
http://www.a.com/script/b.js同一域名下不同文件夹允许
http://www.a.com:8000/b.js同一域名,不同端口不允许
https://www.a.com/b.js同一域名,不同协议不允许
http://70.32.92.74/b.js域名和域名对应ip不允许
http://script.a.com/b.js主域相同,子域不同不允许
http://a.com/b.js同一域名,不同二级域名(同上)不允许
http://www.b.com/b.js不同域名不允许

2、为嘛要跨域

跨域这东西其实很常见,例如我们可以把网站的一些脚本、图片或其他资源放到另外一个站点。例如我们可以使用Google提供的jQuery,加载时间少了,而且减少了服务器的流量,如下:

 
1
<script type="text/java script"src="<a href="https://aja/" style="color: #108ac6; text-decoration: underline;">https://aja</a> x.googleapis.com/aj ax/libs/jquery/1.4.2/jquery.min.js"></script>

有时候不仅仅是一些脚本、图片这样的资源,我们也会希望从另外的站点调用一些数据(有时候是不得不这样),例如我希望获取一些blog的RSS来生成一些内容,再或者说我在“人人开放平台”上开发一个应用,需要调用人人的数据。

然而,很不幸的是,直接用XMLHttpRequest来Get或者Post是不行的,例如我用jQuery的$.get去访问本小博的主域名 :

 
1
2
3
4
$.get("<a href="http://flycoder.org/" style="color: #108ac6; text-decoration: underline;">http://flycoder.org/</a>",
{}, function(data){
alert('跨域不是越狱:'+data)
}, "html");

结果如下(总之就是不行啦~FF不报错,但是木有返回数据):

javascript跨域解决方案(一)

那咋么办捏?(弱弱的说,测试的时候我发现IE访问本地文件时,是可以跨域的,不过这也没啥用~囧~)

3、肿么跨域

下面为了更好的讲解和测试,我们可以通过修改hosts文件来模拟跨域的效果,hosts文件在C:\Windows\System32\drivers\etc 文件夹下。在下面加3行:

127.0.0.1 www.a.com

127.0.0.1 a.com

127.0.0.1 www.b.com

3.1、跨域代理

一种简单的办法,就是把跨域的工作交给服务器,从后台获取其他站点的数据再返回给前台,也就是跨域代理(Cross Domain Proxy)

javascript跨域解决方案(一)

这种方法似乎蛮简单的,改动也不太大。不过就是http请求多了些,响应慢了些,服务器的负载重了些~

3.2、document.domain+iframe

对于主域相同而子域不同的例子,可以通过设置document.domain的办法来解决。

举www.a.com/a.html和a.com/b.html为例,只需在a.html中添加一个b.html的iframe,并且设置两个页面的document.domain都为'a.com'(只能为主域名),两个页面之间即可互相访问了,代码如下:

www.a.com/a.html中的script

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
document.domain='a.com';
var ifr = document.createElement('iframe');
ifr.src = '<a href="http://a.com/b.html" style="color: #108ac6; text-decoration: underline;">http://a.com/b.html</a>';
ifr.style.display = 'none';
document.body.appendChild(ifr);
ifr.onload = function(){
  //获取iframe的document对象
  //W3C的标准方法是iframe.contentDocument,
  //IE6、7可以使用document.frames[ID].document
  //为了更好兼容,可先获取iframe的window对象iframe.contentWindow
  var doc = ifr.contentDocument || ifr.contentWindow.document;
  // 在这里操纵b.html
  alert(doc.getElementById("test").innerHTML);
};

a.com/b.html

 
1
2
3
4
5
6
7
8
9
10
11
12
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title></title>
<script type="text/javascript">
  document.domain='a.com';
</script>
</head>
<body>
<h1 id="test">Hello World</h1>
</body>
</html>

如果b.html要访问a.html,可在子窗口(iframe)中通过window.parent来访问父窗口的window对象,然后就可以为所欲为了(window对象都有了,还有啥不行的),同理子窗口也可以和子窗口之间通信。

于是,我们可以通过b.html的XMLHttpRequest来获取数据,再传给a.html,从而解决跨子域获取数据的问题。

但是这种方法只支持同一根域名下的页面,如果不同根域名(例如baidu.com想访问google.com)那就无能为力了。

3.3、动态script标签(Dynamic Script Tag)

这种方法也叫“动态脚本注入”。详情

这种技术克服了XMLHttpRequest的最大限制,也就是跨域请求数据。直接用JavaScript创建一个新的脚本标签,然后设置它的src属性为不同域的URL。

www.a.com/a.html中的script

 
1
2
3
4
5
var dynScript = document.createElement('script');
dynScript.src = '<a href="http://www.b.com/b.js" style="color: #108ac6; text-decoration: underline;">http://www.b.com/b.js</a>';
dynScript.setAttribute("type", "text/javascript");
document.getElementsByTagName('head')[0]
    .appendChild(dynScript);

通过动态标签注入的必须是可执行的JavaScript代码,因此无论是你的数据格式是啥(xml、json等),都必须封装在一个回调函数中。一个回调函数如下:

www.a.com/a.html中的script

 
1
2
3
4
function dynCallback(data){
  //处理数据, 此处简单示意一下
  alert(data.content);
}

在这个例子中,www.b.com/b.js需要将数据封装在上面这个dynCallback函数中,如下:

 
1
dynCallback({content:'Hello World'})

我们看到了让人开心的结果,Hello World~

javascript跨域解决方案(一)

不过动态脚本注入还是存在不少问题的,下面我们拿它和XMLHttpRequest来对比一下:

  XmlHttpRequest Dynamic Script Tag

跨浏览器兼容NoYes
跨域限制YesNo
接收HTTP状态YesNo (除了200)
支持Get、PostYesNo (GET only)
发送、接收HTTP头YesNo
接收XMLYesYes
接收JSONYesYes
支持同步、异步YesNo (只能异步)

可以看出,动态脚本注入还是有不少限制,只能使用Get,不能像XHR一样判断Http状态等。

而且使用动态脚本注入的时候必须注意安全问题。因为JavaScript没有任何权限与访问控制的概念,通过动态脚本注入的代码可以完全控制整个页面,所以引入外部来源的代码必须多加小心。

td 域名

qianwenjie

qianwenjie

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

MySQL ddl语句的使用

数据定义语言create、drop、alter语句 。定义对数据库记录的增、删、改操作。定义对数据库、表、字段、用户的访问权限和安全级别。这小节主要了解下数据定义语言DDL。我们用它对数据库、表进行一些管理操作,比如:建库、删库、建表、修改表、删除表、对字

云中舞步 2020-11-12

MySQL全面瓦解之查询的正则匹配详解

上一章 查询的过滤条件,我们了解了MySQL可以通过 like % 通配符来进行模糊匹配。同样的,它也支持其他正则表达式的匹配,我们在MySQL中使用 REGEXP 操作符来进行正则表达式匹配。似,但又强大很多,能够实现一些很特殊的、复杂的规则匹配。如果

杨德龙 2020-11-11

shell中set指令的用法详解

set 指令可根据不同的需求来设置当前所使用 shell 的执行方式,同时也可以用来设置或显示 shell 变量的值。当指定某个单一的选项时将设置 shell 的常用特性,如果在选项后使用 -o 参数将打开特殊特性,若是 +o 将关闭相应的特殊特性。而不带

JohnYork 2020-10-16

详解shell 函数定义与调用

本节程序实现函数定义与调用,注意调用函数是不要使用括号,代码如下:。本节程序实现向被调用函数传递参数,$0是运行该脚本的shell传递的参数从$1开始、传递多个参数是以空格分隔,代码如下:。与$*相同,但是使用时加引号,并在引号中返回每个参数。显示Shel

wangzhaotongalex 2020-09-22

Python list和str互转的实现示例

输出: [1, 2, 3, 4, 5]. list2 = str2.split() #or list2 = str2.split(" "). 以下几个内置的函数可以执行数据类型之间的转换。这些函数返回一个新的对象,表示转换的值。将x转换

xiaoseyihe 2020-11-16

MongoDB查询之高级操作详解(多条件查询、正则匹配查询等)

MongoDB查询文档使用find()方法,同时find()方法以非结构化的方式来显示所有查询到的文档。db.collection.find -- 返回所有符合查询条件的文档。$type操作符是基于BSON类型来检索集合中匹配的数据类型,MongoDB中可

不要皱眉 2020-10-14

PHP如何通过date() 函数格式化显示时间

n 为无前导0数字月份。月份中的第几天,前面有前导0,如03。date; //显示格式如 2008-12-01 12:01. 如果输出的时间和实际时间差8个小时的话,检查php.ini文件,做如下设置:date.timezone = PRC

Crazyshark 2020-11-13

ThinkPHP5分页paginate代码实例解析

$list = db('user')->paginate(10);$list = db('user')->paginate(10,false,['query'=>array('id' => $id)]);$this->assi

K先生 2020-11-10

jQuery实现日历效果

jquery是用的是2.0版本。--基于W3C标准 不用做任何修改-->. --设置初始化文档信息和文档管理标注-->. --整个页面编码 utf-8 国际编码 通用性最强,GBK/gb2312 中文-->. .signincalenda

momode 2020-09-11

程序员你是怎么绘制架构图?

作为一个程序员,假如让你绘制当前正在开发的项目的架构图,你会怎么绘制?先来同步一个理念。一种架构设计的方法论,忽略不在同一个抽象成绩的细节,从而可以更好的表达和可视化。可以类比地图,地图分4个级别,国家,省,市,街道;而C4模型也分4个层级,Context

思君夜未眠 2020-09-04

聊一聊mycat数据库集群系列之双主双重实现

  最近在梳理数据库集群的相关操作,现在花点时间整理一下关于mysql数据库集群的操作总结,恰好你又在看这一块,供一份参考。本次系列终结大概包括以下内容:多数据库安装、mycat部署安装、数据库之读写分离主从复制、数据库之双主多重、数据库分库分表。我是一个

点滴技术生活 2020-08-21

C# 正则表达式

.Net 框架提供了允许这种匹配的正则表达式引擎。模式由一个或多个字符、运算符和结构组成。正则表达式中的反斜杠字符(\)指示其后跟的字符是特殊字符,或应按原义解释该字符。与报警 符 \u0007 匹配。" + ‘\u0007‘ 中的 "

MaggieRose 2020-08-19

Python基础---转义字符——Python

字符串中的转义字符。\t 在控制台输出一个 制表符,协助在输出文本时 垂直方向 保持对齐。制表符 的功能是在不使用表格的情况下在 垂直方向 按列对齐文本

kevinweijc 2020-08-18

HikariCP =&gt; 现阶段最快的数据库连接池

怎么说.... 有图有真相吧~要知道对于连接池来讲,代码越少,占用cpu和内存越少,Bug出现几率也是越小,那么代表他的执行率高,这就是为什么HikariCP受欢迎的原因之一。HikariCP是经受了市场的考验,走过太上老君的丹炉,现如今拿到SpringB

wintershii 2020-08-17

Redis 执行性能测试

Redis 性能测试是通过同时执行多个命令实现的。仅运行以逗号分隔的测试命令列表。仅打开 N 个 idle 连接并等待。$ redis-benchmark -h 127.0.0.1 -p 6379 -t set,lpush -n 10000 -q. 以上实

vapaad 2020-08-17

Redis服务之高可用组件sentinel详解

有没有这样的一组件帮我们对master做实时的监控,一旦发现master宕机就提升一个slave当选新的master,如果原master还有其他slave,将其他slave都从属于新的master;除此之外它还应该让系统在发生切换master时触发报警通知

wera00 2020-08-17

js实现表格单列按字母排序

本文实例为大家分享了js实现表格单列按字母排序的具体代码,供大家参考,具体内容如下。<link href="../css/表格数据搜索.css" rel="stylesheet">. <input

移动开发与培训 2020-08-16

js实现表格数据搜索

<input type="text" placeholder="搜索..." id="myInput" onkeyup="myFunction()">

ReunionIsland 2020-08-16

PyQt5 QDockWidget控件应用详解

QDockWidget是一个可以停靠在QMainWindow内的窗口控件,它可以保持在浮动状态或者在指定位置作为子窗口附加到主窗口中,QMainWindow类的主窗口对象保留有一个用于停靠窗口的区域,这个区域在控件的中央周围。QDoCKWidget类中的常

JimyFengqi 2020-08-16

使用imp和exp命令对Oracle数据库进行导入导出操作详解

例子:导出mydb数据库system用户,密码为123456的所有数据到D:\example.dmp文件中

love0u 2020-08-16
qianwenjie

qianwenjie

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号