js跨域是指通過js在不同的域之間進行數據傳輸或通信,比如用ajax向一個不同的域請求數據,或者通過js獲取頁面中不同域的框架中(iframe)的數據。只要協議、域名、端口有任何一個不同,都被當作是不同的域。
document.domain
通過修改document的domain屬性,我們可以在域和子域或者不同的子域之間通信。同域策略認為域和子域隸屬於不同的域,比如 www.a.com和sub.a.com是不同的域,這時,我們無法在www.a.com下的頁面中調用sub.a.com中定義的JavaScript 方法。但是當我們把它們document的domain屬性都修改為a.com,瀏覽器就會認為它們處於同一個域下。通過frame引入文件即能訪問不同子域下的文件。
在頁面 http://www.example.com/a.html 中設置document.domain:
在頁面 http://example.com/b.html 中也設置document.domain,而且這也是必須的,雖然這個文檔的domain就是example.com,但是還是必須顯示的設置document.domain的值:
這樣我們就可以通過js訪問到iframe中的各種屬性和對象了。
window.name
window對象的name屬性是一個很特別的屬性,當該window的location變化,然后重新加載,它的name屬性可以依然保持不變。那么我們可以在頁面A中用iframe加載其他域的頁面B,而頁面B中用JavaScript把需要傳遞的數據賦值給 window.name,iframe加載完成之后,頁面A修改iframe的地址,將其變成同域的一個地址,然后就可以讀出window.name的值了。這個方式非常適合單向的數據請求,而且協議簡單、安全。不會像JSONP那樣不做限制地執行外部腳本。
jsonp 跨域方法
我們提供一個 script 標簽. 請求頁面中的數據, 同時傳入一個回調函數的名字. 服務器端得到名字后, 拼接函數執行格式的字符串. 並且它的參數就是我們需要的json數據,發送回瀏覽器. script 在下載代碼以后並執行, 執行的就是這個函數調用形式的字符串, 因此就將本地函數調用了.同時拿到了從服務器端得到的數據。
這樣jsonp的原理就很清楚了,通過script標簽引入一個js文件,這個js文件載入成功后會執行我們在url參數中指定的函數,並且會把我們需要的json數據作為參數傳入。所以jsonp是需要服務器端的頁面進行相應的配合的。
知道jsonp跨域的原理后我們就可以用js動態生成script標簽來進行跨域操作了,而不用特意的手動的書寫那些script標簽。如果你的頁面使用jquery,那么通過它封裝的方法就能很方便的來進行jsonp操作了。
原理是一樣的,只不過我們不需要手動的插入script標簽以及定義回掉函數。jquery會自動生成一個全局函數來替換callback=?中的問號,之后獲取到數據后又會自動銷毀,實際上就是起一個臨時代理函數的作用。$.getJSON方法會自動判斷是否跨域,不跨域的話,就調用普通的ajax方法;跨域的話,則會以異步加載js文件的形式來調用jsonp的回調函數。
window.postMessage
調用postMessage方法的window對象是指要接收消息的那一個window對象,該方法的第一個參數message為要發送的消息,類型只能為字符串;第二個參數targetOrigin用來限定接收消息的那個window對象所在的域,如果不想限定域,可以使用通配符 * 。
需要接收消息的window對象,可是通過監聽自身的message事件來獲取傳過來的消息,消息內容儲存在該事件對象的data屬性中。
上面所說的向其他window對象發送消息,其實就是指一個頁面有幾個框架的那種情況,因為每一個框架都有一個window對象。在討論第二種方法的時候,我們說過,不同域的框架間是可以獲取到對方的window對象的,而且也可以使用window.postMessage這個方法。下面看一個簡單的示例,有兩個頁面
CORS 跨域
CORS 是在 es5 之后提出的跨域方案. 只需要在服務器配置一個跨域響應頭接口
服務器端:header( 'Access-Control-Allow-Origin: http://test1.com' );//允許指定網站
參考:
https://www.cnblogs.com/2050/p/3191744.html
https://www.jb51.net/article/113156.htm