一、什么是跨域？

1.定義：跨域是指從一個域名的網(wǎng)頁去請求另一個域名的資源。比如從www.baidu.com 頁面去請求 www.google.com 的資源。但是一般情況下不能這么做，它是由瀏覽器的同源策略造成的，是瀏覽器對JavaScript施加的安全限制。跨域的嚴(yán)格一點的定義是：只要 協(xié)議，域名，端口有任何一個的不同，就被當(dāng)作是跨域

所謂同源是指，域名，協(xié)議，端口均相同。這里說的js跨域是指通過js在不同的域之間進行數(shù)據(jù)傳輸或通信，比如用ajax向一個不同的域請求數(shù)據(jù)，或者通過js獲取頁面中不同域的框架中(iframe)的數(shù)據(jù)。

概念：只要協(xié)議、域名、端口有任何一個不同，都被當(dāng)作是不同的域。

http://www.123.com/index.html 調(diào)用 http://www.123.com/server.PHP?(非跨域)

http://www.123.com/index.html 調(diào)用 http://www.456.com/server.php?(主域名不同:123/456，跨域)

http://abc.123.com/index.html 調(diào)用 http://def.123.com/server.php (子域名不同:abc/def，跨域)

http://www.123.com:8080/index.html 調(diào)用 http://www.123.com:8081/server.php (端口不同:8080/8081，跨域)

http://www.123.com/index.html 調(diào)用 https://www.123.com/server.php (協(xié)議不同:http/https，跨域)

請注意：localhost和127.0.0.1雖然都指向本機，但也屬于跨域。

瀏覽器執(zhí)行javascript腳本時，會檢查這個腳本屬于哪個頁面，如果不是同源頁面，就不會被執(zhí)行。

對于端口和協(xié)議的不同，只能通過后臺來解決。

二、為什么瀏覽器要限制跨域訪問呢？

原因就是安全問題：如果一個網(wǎng)頁可以隨意地訪問另外一個網(wǎng)站的資源，那么就有可能在客戶完全不知情的情況下出現(xiàn)安全問題。比如下面的操作就有安全問題：

用戶訪問www.mybank.com ，登陸并進行網(wǎng)銀操作，這時cookie啥的都生成并存放在瀏覽器

用戶突然想起件事，并迷迷糊糊地訪問了一個邪惡的網(wǎng)站 www.xiee.com

這時該網(wǎng)站就可以在它的頁面中，拿到銀行的cookie，比如用戶名，登陸token等，然后發(fā)起對www.mybank.com 的操作。

如果這時瀏覽器不予限制，并且銀行也沒有做響應(yīng)的安全處理的話，那么用戶的信息有可能就這么泄露了。

三、為什么要跨域？

既然有安全問題，那為什么又要跨域呢？ 有時公司內(nèi)部有多個不同的子域，比如一個是location.company.com ,而應(yīng)用是放在app.company.com , 這時想從 app.company.com去訪問 location.company.com 的資源就屬于跨域。

四、解決跨域問題的方法

(1)跨域資源共享(CORS)

CORS(Cross-Origin Resource Sharing)跨域資源共享，定義了必須在訪問跨域資源時，瀏覽器與服務(wù)器應(yīng)該如何溝通。CORS背后的基本思想就是使用自定義的HTTP頭部讓瀏覽器與服務(wù)器進行溝通，從而決定請求或響應(yīng)是應(yīng)該成功還是失敗。

服務(wù)器端對于CORS的支持，主要就是通過設(shè)置Access-Control-Allow-Origin來進行的。如果瀏覽器檢測到相應(yīng)的設(shè)置，就可以允許Ajax進行跨域的訪問。

只需要在后臺中加上響應(yīng)頭來允許域請求！在被請求的Response header中加入以下設(shè)置，就可以實現(xiàn)跨域訪問了！

//指定允許其他域名訪問 'Access-Control-Allow-Origin:*'//或指定域 //響應(yīng)類型 'Access-Control-Allow-Methods:GET,POST' //響應(yīng)頭設(shè)置 'Access-Control-Allow-Headers:x-requested-with,content-type'

---

(2)通過jsonp跨域

JSONP是JSON with Padding(填充式j(luò)son)的簡寫，是應(yīng)用JSON的一種新方法，只不過是被包含在函數(shù)調(diào)用中的JSON，例如：

callback({"name","trigkit4"});

JSONP由兩部分組成：回調(diào)函數(shù)和數(shù)據(jù)。回調(diào)函數(shù)是當(dāng)響應(yīng)到來時應(yīng)該在頁面中調(diào)用的函數(shù)，而數(shù)據(jù)就是傳入回調(diào)函數(shù)中的JSON數(shù)據(jù)。

JSONP的原理：通過script標(biāo)簽引入一個js文件，這個js文件載入成功后會執(zhí)行我們在url參數(shù)中指定的函數(shù)，并且會把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進行相應(yīng)的配合的。(即用javascript動態(tài)加載一個script文件，同時定義一個callback函數(shù)給script執(zhí)行而已。)

在js中，我們直接用XMLHttpRequest請求不同域上的數(shù)據(jù)時，是不可以的。但是，在頁面上引入不同域上的js腳本文件卻是可以的，jsonp正是利用這個特性來實現(xiàn)的。 例如：

有個a.html頁面，它里面的代碼需要利用ajax獲取一個不同域上的json數(shù)據(jù)，假設(shè)這個json數(shù)據(jù)地址是http://example.com/data.php,那么a.html中的代碼就可以這樣：

<script type="text/javascript">function dosomething(jsondata){//處理獲得的json數(shù)據(jù)} </script> <script src="http://example.com/data.php?callback=dosomething"></script>

js文件載入成功后會執(zhí)行我們在url參數(shù)中指定的函數(shù)，并且會把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進行相應(yīng)的配合的。

<?php $callback = $_GET['callback'];//得到回調(diào)函數(shù)名 $data = array('a','b','c');//要返回的數(shù)據(jù) echo $callback.'('.json_encode($data).')';//輸出 ?>

最終，輸出結(jié)果為：dosomething(['a','b','c']);

如果你的頁面使用jquery，那么通過它封裝的方法就能很方便的來進行jsonp操作了。

<script type="text/javascript">$.getJSON('http://example.com/data.php?callback=?,function(jsondata)'){//處理獲得的json數(shù)據(jù)}); </script>

jquery會自動生成一個全局函數(shù)來替換callback=?中的問號，之后獲取到數(shù)據(jù)后又會自動銷毀，實際上就是起一個臨時代理函數(shù)的作用。$.getJSON方法會自動判斷是否跨域，不跨域的話，就調(diào)用普通的ajax方法；跨域的話，則會以異步加載js文件的形式來調(diào)用jsonp的回調(diào)函數(shù)。

JSONP的優(yōu)缺點

JSONP的優(yōu)點是：它不像XMLHttpRequest對象實現(xiàn)的Ajax請求那樣受到同源策略的限制；它的兼容性更好，在更加古老的瀏覽器中都可以運行，不需要XMLHttpRequest或ActiveX的支持；并且在請求完畢后可以通過調(diào)用callback的方式回傳結(jié)果。

JSONP的缺點則是：它只支持GET請求而不支持POST等其它類型的HTTP請求；它只支持跨域HTTP請求這種情況，不能解決不同域的兩個頁面之間如何進行JavaScript調(diào)用的問題。

CORS和JSONP對比

CORS與JSONP相比，無疑更為先進、方便和可靠。

1、 JSONP只能實現(xiàn)GET請求，而CORS支持所有類型的HTTP請求。2、 使用CORS，開發(fā)者可以使用普通的XMLHttpRequest發(fā)起請求和獲得數(shù)據(jù)，比起JSONP有更好的錯誤處理。3、 JSONP主要被老的瀏覽器支持，它們往往不支持CORS，而絕大多數(shù)現(xiàn)代瀏覽器都已經(jīng)支持了CORS)。

(3)通過修改document.domain來跨子域

瀏覽器都有一個同源策略，其限制之一就是第一種方法中我們說的不能通過ajax的方法去請求不同源中的文檔。 它的第二個限制是瀏覽器中不同域的框架之間是不能進行js的交互操作的。
不同的框架之間是可以獲取window對象的，但卻無法獲取相應(yīng)的屬性和方法。比如，有一個頁面，它的地址是http://www.example.com/a.html?， 在這個頁面里面有一個iframe，它的src是http://example.com/b.html, 很顯然，這個頁面與它里面的iframe框架是不同域的，所以我們是無法通過在頁面中書寫js代碼來獲取iframe中的東西的：

<script type="text/javascript">function test(){var iframe = document.getElementById('ifame');var win = document.contentWindow;//可以獲取到iframe里的window對象，但該window對象的屬性和方法幾乎是不可用的var doc = win.document;//這里獲取不到iframe里的document對象var name = win.name;//這里同樣獲取不到window對象的name屬性} </script> <iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>

這個時候，document.domain就可以派上用場了，我們只要把http://www.example.com/a.html?和?http://example.com/b.html這兩個頁面的document.domain都設(shè)成相同的域名就可以了。但要注意的是，document.domain的設(shè)置是有限制的，我們只能把document.domain設(shè)置成自身或更高一級的父域，且主域必須相同。例如：a.b.example.com 中某個文檔的document.domain 可以設(shè)成a.b.example.com、b.example.com 、example.com中的任意一個，但是不可以設(shè)成 c.a.b.example.com,因為這是當(dāng)前域的子域，也不可以設(shè)成baidu.com,因為主域已經(jīng)不相同了。

1.在頁面?http://www.example.com/a.html?中設(shè)置document.domain:

<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe> <script type="text/javascript">document.domain = 'example.com';//設(shè)置成主域function test(){alert(document.getElementById('iframe').contentWindow);//contentWindow 可取得子窗口的 window 對象} </script>

2.在頁面?http://example.com/b.html?中也設(shè)置document.domain:

<script type="text/javascript">document.domain = 'example.com';//在iframe載入這個頁面也設(shè)置document.domain，使之與主頁面的document.domain相同 </script>

修改document.domain的方法只適用于不同子域的框架間的交互。

?

(4)使用window.name來進行跨域

window對象有個name屬性，該屬性有個特征：即在一個窗口(window)的生命周期內(nèi),窗口載入的所有的頁面都是共享一個window.name的，每個頁面對window.name都有讀寫的權(quán)限，window.name是持久存在一個窗口載入過的所有頁面中的，并不會因新頁面的載入而進行重置。

比如：有一個頁面a.html,它里面有這樣的代碼：

?

再看看b.html頁面的代碼：

a.html頁面載入后3秒，跳轉(zhuǎn)到了b.html頁面，結(jié)果為：

我們看到在b.html頁面上成功獲取到了它的上一個頁面a.html給window.name設(shè)置的值。如果在之后所有載入的頁面都沒對window.name進行修改的話，那么所有這些頁面獲取到的window.name的值都是a.html頁面設(shè)置的那個值。當(dāng)然，如果有需要，其中的任何一個頁面都可以對window.name的值進行修改。注意，window.name的值只能是字符串的形式，這個字符串的大小最大能允許2M左右甚至更大的一個容量，具體取決于不同的瀏覽器，但一般是夠用了。

上面的例子中，我們用到的頁面a.html和b.html是處于同一個域的，但是即使a.html與b.html處于不同的域中，上述結(jié)論同樣是適用的，這也正是利用window.name進行跨域的原理。

下面就來看一看具體是怎么樣通過window.name來跨域獲取數(shù)據(jù)的。還是舉例說明。

比如有一個www.example.com/a.html頁面,需要通過a.html頁面里的js來獲取另一個位于不同域上的頁面www.cnblogs.com/data.html里的數(shù)據(jù)。

data.html頁面里的代碼很簡單，就是給當(dāng)前的window.name設(shè)置一個a.html頁面想要得到的數(shù)據(jù)值。data.html里的代碼：

那么在a.html頁面中，我們怎么把data.html頁面載入進來呢？顯然我們不能直接在a.html頁面中通過改變window.location來載入data.html頁面，因為我們想要即使a.html頁面不跳轉(zhuǎn)也能得到data.html里的數(shù)據(jù)。答案就是在a.html頁面中使用一個隱藏的iframe來充當(dāng)一個中間人角色，由iframe去獲取data.html的數(shù)據(jù)，然后a.html再去得到iframe獲取到的數(shù)據(jù)。

充當(dāng)中間人的iframe想要獲取到data.html的通過window.name設(shè)置的數(shù)據(jù)，只需要把這個iframe的src設(shè)為www.cnblogs.com/data.html就行了。然后a.html想要得到iframe所獲取到的數(shù)據(jù)，也就是想要得到iframe的window.name的值，還必須把這個iframe的src設(shè)成跟a.html頁面同一個域才行，不然根據(jù)前面講的同源策略，a.html是不能訪問到iframe里的window.name屬性的。這就是整個跨域過程。

看下a.html頁面的代碼：

上面的代碼只是最簡單的原理演示代碼，你可以對使用js封裝上面的過程，比如動態(tài)的創(chuàng)建iframe,動態(tài)的注冊各種事件等等，當(dāng)然為了安全，獲取完數(shù)據(jù)后，還可以銷毀作為代理的iframe。網(wǎng)上也有很多類似的現(xiàn)成代碼，有興趣的可以去找一下。

通過window.name來進行跨域，就是這樣子的。

(5)使用HTML5的window.postMessage方法跨域

window.postMessage(message,targetOrigin)? 方法是html5新引進的特性，可以使用它來向其它的window對象發(fā)送消息，無論這個window對象是屬于同源或不同源，目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經(jīng)支持window.postMessage方法。

調(diào)用postMessage方法的window對象是指要接收消息的那一個window對象，該方法的第一個參數(shù)message為要發(fā)送的消息，類型只能為字符串；第二個參數(shù)targetOrigin用來限定接收消息的那個window對象所在的域，如果不想限定域，可以使用通配符 *? 。

需要接收消息的window對象，可是通過監(jiān)聽自身的message事件來獲取傳過來的消息，消息內(nèi)容儲存在該事件對象的data屬性中。

上面所說的向其他window對象發(fā)送消息，其實就是指一個頁面有幾個框架的那種情況，因為每一個框架都有一個window對象。在討論第二種方法的時候，我們說過，不同域的框架間是可以獲取到對方的window對象的，而且也可以使用window.postMessage這個方法。下面看一個簡單的示例，有兩個頁面

我們運行a頁面后得到的結(jié)果:

我們看到b頁面成功的收到了消息。

使用postMessage來跨域傳送數(shù)據(jù)還是比較直觀和方便的，但是缺點是IE6、IE7不支持，所以用不用還得根據(jù)實際需要來決定。

(6)web sockets

web sockets是一種瀏覽器的API，它的目標(biāo)是在一個單獨的持久連接上提供全雙工、雙向通信。(同源策略對web sockets不適用)

web sockets原理：在js創(chuàng)建了web socket之后，會有一個HTTP請求發(fā)送到瀏覽器以發(fā)起連接。取得服務(wù)器響應(yīng)后，建立的連接會使用HTTP升級從HTTP協(xié)議交換為web sockt協(xié)議。

只有在支持web socket協(xié)議的服務(wù)器上才能正常工作。

var socket = new WebSockt('ws://www.baidu.com');//http->ws; https->wss socket.send('hello WebSockt'); socket.onmessage = function(event){var data = event.data; }

(7)圖像ping(單向)

? ? 1、什么是圖像ping：?

? ? ? ? 圖像ping是與服務(wù)器進行簡單、單向的跨域通信的一種方式，請求的數(shù)據(jù)是通過查詢字符串的形式發(fā)送的，而相應(yīng)可以是任意內(nèi)容，但通常是像素圖或204相應(yīng)(No Content)。 圖像ping有兩個主要缺點：首先就是只能發(fā)送get請求，其次就是無法訪問服務(wù)器的響應(yīng)文本。

? ?2、使用方法：

var img = new Image(); img.onload = img.onerror = function(){ alert("done!"); }; img.src = "https://raw.githubusercontent.com/zhangmengxue/Todo-List/master/me.jpg"; document.body.insertBefore(img,document.body.firstChild);

然后頁面上就可以顯示我放在我的github上某個地方的照片啦。

與<img>類似的可以跨域內(nèi)嵌資源的還有:

(1)<script src=""></script>標(biāo)簽嵌入跨域腳本。語法錯誤信息只能在同源腳本中捕捉到。上面jsonp也用到了呢。

(2) <link src="">標(biāo)簽嵌入CSS。由于CSS的松散的語法規(guī)則，CSS的跨域需要一個設(shè)置正確的Content-Type消息頭。不同瀏覽器有不同的限制： IE, Firefox, Chrome, Safari (跳至CVE-2010-0051)部分 和 Opera。

(3)<video> 和 <audio>嵌入多媒體資源。

(4)<object>, <embed> 和 <applet>的插件。

(5)@font-face引入的字體。一些瀏覽器允許跨域字體( cross-origin fonts)，一些需要同源字體(same-origin fonts)。

(6) <frame> 和 <iframe>載入的任何資源。站點可以使用X-Frame-Options消息頭來阻止這種形式的跨域交互。

總結(jié)

以上是生活随笔為你收集整理的JS中的跨域问题的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。