javascript跨域有兩種情況:
1、基於同一父域的子域之間,如:a.c.com和b.c.com
2、基於不同的父域之間,如:www.a.com和www.b.com
3、端口的不同,如:www.a.com:8080和www.a.com:8088
4、協議不同,如:http://www.a.com和https://www.a.com
對於情況3和4,需要通過后台proxy來解決,具體方式如下:
a、在發起方的域下創建proxy程序
b、發起方的js調用本域下的proxy程序
c、proxy將請求發送給接收方並獲取相應數據
d、proxy將獲得的數據返回給發起方的js
發起方頁面代碼如下:
<form id="form1" runat="server">
<div>
<input type="text" id="txtSrc" value="http://www.gzsums.edu.cn/webclass/html/html_design.html" style="width: 378px" />
<input id="btnProxy" type="button" value="通過Proxy獲取數據" onclick="GetDataFromProxy();" /><br />
<br />
<br />
</div>
<div id="divData"></div>
</form>
</body>
<script language="javascript" type="text/javascript">
function GetDataFromProxy() {
var src = document.getElementById('txtSrc').value;
var request = null;
if (window.XMLHttpRequest) {
request = new XMLHttpRequest();
}
else if (window.ActiveXObject) {
request = new ActiveXObject("Microsoft.XMLHTTP");
}
request.onreadystatechange = function() {
var ready = request.readyState;
var data = null;
{
if (ready == 4) {
data = request.responseText;
document.getElementById('divData').innerHTML = data;
}
else {
document.getElementById('divData').text = "Loading";
}
}
}
var url = "Proxy.ashx?src=" + escape(src);
request.open("get",url,false);
request.send(null);
}
</script>
發起方Proxy代碼如下:
using System.Data;
using System.Linq;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
using System.Xml.Linq;
using System.IO;
using System.Net;
using System.Text;
namespace WebApplication1
{
/// <summary>
/// Summary description for $codebehindclassname$
/// </summary>
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
public class Proxy : IHttpHandler
{
const int BUFFER_SIZE = 8 * 1024;
public void ProcessRequest(HttpContext context)
{
context.Response.ContentType = "text/plain";
string src = context.Request["src"];
WebRequest wr = WebRequest.Create(src);
WebResponse wres = wr.GetResponse();
Encoding resEncoding = System.Text.Encoding.GetEncoding("gb2312");
StreamReader sr = new StreamReader(wres.GetResponseStream(), resEncoding);
string html = sr.ReadToEnd();
sr.Close();
wres.Close();
context.Response.Write("<br/><br/><br/><br/>");
context.Response.Write(html);
}
public bool IsReusable
{
get
{
return false;
}
}
}
}
而情況1和2除了通過后台proxy這種方式外,還可以有7種辦法來解決:
1、document.domain+iframe(只能解決情況1):
a、在發起方頁面和接收方頁面設置document.domain,並將值設為父域的主域名(window.location.hostname)
b、在發起方頁面創建一個隱藏的iframe,iframe的源是接收方頁面
c、根據瀏覽器的不同,通過iframe.contentDocument || iframe.contentWindow.document來獲得接收方頁面的內容
d、通過獲得的接收方頁面的內容來與接收方進行交互
這種方法有個缺點,就是當一個域被攻擊時,另一個域會有安全漏洞出現。
發起方頁面代碼如下:
<body>
<div>
<input type="text" id="txtSrc" value="http://b.a.com/DomainTest2.htm" style="width: 378px" />
<input id="btnDomain" type="button" value="通過Domain獲取數據" onclick="GetDataFromDomain();" /><br />
<br />
<br />
</div>
<div id="divData"></div>
</body>
<script language="javascript" type="text/javascript">
document.domain = 'a.com';
var src = document.getElementById('txtSrc').value;
var ifr = document.createElement('iframe');
ifr.src = src;
ifr.style.display = 'none';
document.body.appendChild(ifr);
function GetDataFromDomain() {
var doc = ifr.contentDocument || ifr.contentWindow.document;
alert(doc.getElementById("data").value);
}
</script>
接收方頁面代碼如下:
<body>
<input type="hidden" id="data" value="Cross Domain" style="width: 378px" />
</body>
<script language="javascript" type="text/javascript">
document.domain = 'a.com';
</script>
2、動態創建script:
a、在發起方頁面動態加載一個script,script的URL指向接收方的一個處理地址(后台),該地址返回的javascript方法會被執行,另外URL中可以傳入一些參數,該方法只支持GET方式提交參數。
b、加載的script可以在調用跨域js方法后再做一些自己的處理
發起方頁面的代碼如下:
<head>
<title>Script Test</title>
<script language="javascript" type="text/javascript">
function load_script(callback){
var head = document.getElementsByTagName('head')[0];
var script = document.createElement('script');
var src = document.getElementById('txtSrc').value;
script.type = 'text/javascript';
script.src = src;
//借鑒了jQuery的script跨域方法
script.onload = script.onreadystatechange = function(){
if((!this.readyState||this.readyState === "loaded"||this.readyState === "complete")){
callback && callback();
// Handle memory leak in IE
script.onload = script.onreadystatechange = null;
if ( head && script.parentNode ) {
head.removeChild( script );
}
}
};
// Use insertBefore instead of appendChild to circumvent an IE6 bug.
head.insertBefore( script, head.firstChild );
}
</script>
</head>
<body>
<input type="text" id="txtSrc" value="http://www.b.com/scripttest.aspx" style="width: 378px" />
<input type="button" value="通過動態創建script標簽來獲取數據" onclick="load_script(function(){alert('動態加載script標簽成功')})"/>
</body>
接收方服務器端代碼如下:
protected void Page_Load(object sender, EventArgs e)
{
Response.Clear();
Response.ContentType = "application/x-javascript";
Response.Write(String.Format(@"alert('{0}');", DateTime.Now));
Response.End();
}
3、location.hash+iframe:
a、發起方創建一個隱藏的iframe,iframe的源指向接收方的頁面,並通過接收方頁面的hash值來傳送數據
b、發起方創建一個定時器,定時檢查自己的location.hash並作相應的處理
c、接收方創建一個隱藏的iframe,iframe的源指向發起方所在域的一個代理頁面,並將接收方根據發起方傳入的數據而處理后的數據通過代理頁面的hash值來傳送
d、接收方創建一個定時器,定時檢查自己的location.hash並作相應的處理
e、代理頁面創建一個定時器,定時檢查自己的location.hash並同步更新發起方頁面的hash值
www.a.com/a.html#aaa,其中#aaa就是location.hash值
發起方頁面代碼如下:
<body>
<div>
<input type="text" id="txtSrc" value="1" style="width: 378px" />
<input id="btnAddHash" type="button" value="添加Hash值" onclick="addHash();" />
<iframe id="ifr1" style="display:none"></iframe>
</div>
</body>
<script language="javascript" type="text/javascript">
function addHash() {
var src = document.getElementById('txtSrc').value;
if (src.length > 0) {
changeHash(src);
}
}
function changeHash(src) {
if (document.getElementById('ifr1')) {
var ifr = document.getElementById('ifr1');
ifr.src = 'http://www.b.com/Test/HashTest2.htm#' + src;
}
else {
var ifr = document.createElement('iframe');
ifr.setAttribute('id', 'ifr1');
ifr.src = 'http://www.b.com/Test/HashTest2.htm#' + src;
ifr.style.display = 'none';
document.body.appendChild(ifr);
}
}
function checkHash() {
if (location.hash && location.hash.length > 1) {
changeHash(location.hash.substring(1));
}
}
setInterval(checkHash, 2000);
</script>
接收方頁面代碼如下:
<body>
<iframe id="ifr2" style="display:none"></iframe>
</body>
<script language="javascript" type="text/javascript">
function checkHash() {
if (location.hash && location.hash.length > 1) {
var hashData = location.hash.substring(1);
var ifr = null;
if (document.getElementById('ifr2')) {
ifr = document.getElementById('ifr2');
}
else {
ifr = document.createElement('iframe');
ifr.setAttribute('id', 'ifr2');
ifr.style.display = 'none';
document.body.appendChild(ifr);
}
switch (hashData) {
case '1':
alert('One');
if (ifr) {
ifr.src = 'http://www.a.com/test/HashTest3.htm#2';
}
break;
case '2':
alert('Two');
if (ifr) {
ifr.src = 'http://www.a.com/test/HashTest3.htm#1';
}
break;
default:
break;
}
}
}
setInterval(checkHash, 2000);
</script>
發起方域下的代理頁面代碼如下:
<body></body>
<script language="javascript" type="text/javascript">
function checkHash() {
if (parent && parent.parent && parent.parent.location && self.location.hash.length > 1) {
parent.parent.location.hash = self.location.hash.substring(1);
}
}
setInterval(checkHash, 500);
</script>
4、window.name:
a、發起方頁面創建一個隱藏的iframe,並且源指向接收方頁面
b、接收方在自己頁面通過script將需要傳送的數據放入window.name里
c、發起方在iframe的onload方法里將iframe的源改為和自己在同一個域下的代理頁面(因為只能是同一個域下才能訪問window.name的值)
d、獲取window.name的值(雖然iframe的源改變了,但是window.name的值不會變)
window.name的值差不多可以有2MB大小
發起方頁面代碼如下:
<body>
<div>
<input id="btnName" type="button" value="通過window.name獲取數據" onclick="getData();" />
<iframe id="ifr1" style="display:none" src="http://www.b.com/Test/NameTest2.htm"></iframe>
</div>
</body>
<script language="javascript" type="text/javascript">
var ischanged = false;
function changeSrc() {
if (document.getElementById('ifr1')) {
var ifr = document.getElementById('ifr1');
if (!ischanged) {
ischanged = true;
ifr.contentWindow.location = 'http://www.a.com/Test/NameTest3.htm';
}
else {
var data = ifr.contentWindow.name;
alert(data);
}
}
else {
var ifr = document.createElement('iframe');
ifr.setAttribute('id', 'ifr1');
ifr.src = 'http://www.b.com/Test/NameTest2.htm';
ifr.style.display = 'none';
document.body.appendChild(ifr);
}
}
function getData() {
setInterval(changeSrc, 2000);
}
</script>
接收方頁面代碼如下:
<body></body>
<script language="javascript" type="text/javascript">
window.name = 'NameTest2';
</script>
發起方域下的代理頁面代碼如下:
<body></body>
(其實什么都不用寫)
5、HTML5的postMessage
<div>
<input id="btnPostMessage" type="button" value="通過PostMessage獲取數據" onclick="getData();" />
<iframe id="ifr" style="display:none" src=" http://www.b.com/Test/PostMessageTest2.htm"></iframe>
</div>
</body>
<script language="javascript" type="text/javascript">
function getData() {
var ifr = document.getElementById('ifr');
var targetOrigin = 'http://www.b.com';
if (ifr.contentWindow.postMessage) {
ifr.contentWindow.postMessage('PostMessageTest2', targetOrigin);
}
}
</script>
<body></body>
<script language="javascript" type="text/javascript">
window.addEventListener('message', function(event) {
if (event.origin == 'http://www.a.com') {
alert(event.data);
alert(event.source);
}
}, false);
</script>
6、window.opener(適用於IE6、7,也就是operner hack方法,不過貌似現在已經不管用了,只要打過微軟的安全補丁.kb2497640就不能用了)
a、發起方頁面創建一個隱藏的iframe,並且源指向接收方頁面
b、發起方頁面通過iframe.contentWindow.opener = {a: function(params){...}, b: function(params){...} ...}來定義可被接收方調用的方法
c、接收方頁面通過window.opener.a/window.opener.b來調用發起方定義的方法
d、接收方頁面通過parent.opener = {c: function(params){...}, d: function(params){...} ...}來定義可被發起方調用的方法
e、發起方頁面通過opener.c/opener.d來調用接收方定義的方法
其實原理就是重置opener對象
發起方頁面代碼如下:
<body>
<iframe id="ifr" src="http://www.b.com/test/OpenerTest2.htm" style="display:none"></iframe>
</body>
<script language="javascript" type="text/javascript">
var ifr = document.getElementById('ifr');
ifr.contentWindow.opener = { a: function(msg) { alert('我調用了a方法獲得了消息:' + msg); } }
</script>
接收方頁面代碼如下:
<body>
</body>
<script language="javascript" type="text/javascript">
window.opener.a('aaa');
</script>
7、window.navigator(適用於IE6、7,貌似現在還能用,還沒被補丁掉)
a、發起方頁面創建一個隱藏的iframe,並且源指向接收方頁面
b、發起方頁面通過window.navigator.a = function(params){...}; window.navigator.b = function(params){...}; 來定義被接收方調用的方法
c、接收方頁面通過window.navigator.a(params); window.navigator.b(params);來調用發起方定義的方法
d、接收方頁面通過window.navigator.c = function(params){...}; window.navigator.d = function(params){...}; 來定義被發起方調用的方法
e、發起方頁面通過window.navigator.c(params); window.navigator.d(params);來調用接收方定義的方法
發起方頁面代碼如下:
<body>
<iframe id="ifr" src="http://www.b.com/test/NavigatorTest2.htm" style="display:none"></iframe>
</body>
<script language="javascript" type="text/javascript">
window.navigator.a = function(msg) { alert('我調用了a方法獲得了消息:' + msg); }
window.navigator.b = function(msg) { alert('我調用了b方法獲得了消息:' + msg); }
setInterval(function() { window.navigator.c('ccc'); }, 2000);
setInterval(function() { window.navigator.d('ddd'); }, 2000);
</script>
接收方頁面代碼如下:
<body>
</body>
<script language="javascript" type="text/javascript">
window.navigator.c = function(msg) { alert('我調用了c方法獲得了消息:' + msg); }
window.navigator.d = function(msg) { alert('我調用了d方法獲得了消息:' + msg); }
setInterval(function() { window.navigator.a('aaa'); }, 2000);
setInterval(function() { window.navigator.b('bbb'); }, 2000);
</script>