js跨域及解決方案

1.什麼是跨域

咱們常常會在頁面上使用ajax請求訪問其餘服務器的數據,此時,客戶端會出現跨域問題.

跨域問題是因爲javascript語言安全限制中的同源策略形成的.

簡單來講,同源策略是指一段腳本只能讀取來自同一來源的窗口和文檔的屬性,這裏的同一來源指的是主機名、協議和端口號的組合.

URL	說明	是否容許通訊
http://www.a.com/a.js http://www.a.com/b.js	同一域名下	容許
http://www.a.com/lab/a.js http://www.a.com/script/b.js	同一域名下不一樣文件夾	容許
http://www.a.com:8000/a.js http://www.a.com/b.js	同一域名，不一樣端口	不容許
http://www.a.com/a.js https://www.a.com/b.js	同一域名，不一樣協議	不容許
http://www.a.com/a.js http://70.32.92.74/b.js	域名和域名對應ip	不容許
http://www.a.com/a.js http://script.a.com/b.js	主域相同，子域不一樣	不容許
http://www.a.com/a.js http://a.com/b.js	同一域名，不一樣二級域名（同上）	不容許（cookie這種狀況下也不容許訪問）
http://www.cnblogs.com/a.js http://www.a.com/b.js	不一樣域名	不容許

2.要解決跨域的問題，咱們可使用如下幾種方法：

方案一：經過jsonp跨域

在js中，咱們直接用XMLHttpRequest請求不一樣域上的數據時，是不能夠的。可是，在頁面上引入不一樣域上的js腳本文件倒是能夠的，jsonp正是利用這個特性來實現的。

 

咱們看到獲取數據的地址後面還有一個callback參數，按慣例是用這個參數名，可是你用其餘的也同樣。固然若是獲取數據的jsonp地址頁面不是你本身能控制的，就得按照提供數據的那一方的規定格式來操做了。

由於是當作一個js文件來引入的，因此http://example.com/data.php返回的必須是一個能執行的js文件，因此這個頁面的php代碼多是這樣的:

最終那個頁面輸出的結果是:

因此經過http://example.com/data.php?callback=dosomething獲得的js文件，就是咱們以前定義的dosomething函數,而且它的參數就是咱們須要的json數據，這樣咱們就跨域得到了咱們須要的數據。

這樣jsonp的原理就很清楚了，經過script標籤引入一個js文件，這個js文件載入成功後會執行咱們在url參數中指定的函數，而且會把咱們須要的json數據做爲參數傳入。因此jsonp是須要服務器端的頁面進行相應的配合的。

知道jsonp跨域的原理後咱們就能夠用js動態生成script標籤來進行跨域操做了，而不用特地的手動的書寫那些script標籤。若是你的頁面使用jquery，那麼經過它封裝的方法就能很方便的來進行jsonp操做了。

原理是同樣的，只不過咱們不須要手動的插入script標籤以及定義回掉函數。jquery會自動生成一個全局函數來替換callback=?中的問號，以後獲取到數據後又會自動銷燬，實際上就是起一個臨時代理函數的做用。$.getJSON方法會自動判斷是否跨域，不跨域的話，就調用普通的ajax方法；跨域的話，則會以異步加載js文件的形式來調用jsonp的回調函數。

二、經過修改document.domain來跨子域

瀏覽器都有一個同源策略，其限制之一就是第一種方法中咱們說的不能經過ajax的方法去請求不一樣源中的文檔。 它的第二個限制是瀏覽器中不一樣域的框架之間是不能進行js的交互操做的。有一點須要說明，不一樣的框架之間（父子或同輩），是可以獲取到彼此的window對象的，但蛋疼的是你卻不能使用獲取到的window對象的屬性和方法(html5中的postMessage方法是一個例外，還有些瀏覽器好比ie6也可使用top、parent等少數幾個屬性)，總之，你能夠當作是隻能獲取到一個幾乎無用的window對象。好比，有一個頁面，它的地址是http://www.example.com/a.html  ， 在這個頁面裏面有一個iframe，它的src是http://example.com/b.html, 很顯然，這個頁面與它裏面的iframe框架是不一樣域的，因此咱們是沒法經過在頁面中書寫js代碼來獲取iframe中的東西的：

 

這個時候，document.domain就能夠派上用場了，咱們只要把http://www.example.com/a.html 和 http://example.com/b.html這兩個頁面的document.domain都設成相同的域名就能夠了。但要注意的是，document.domain的設置是有限制的，咱們只能把document.domain設置成自身或更高一級的父域，且主域必須相同。例如：a.b.example.com 中某個文檔的document.domain 能夠設成a.b.example.com、b.example.com 、example.com中的任意一個，可是不能夠設成 c.a.b.example.com,由於這是當前域的子域，也不能夠設成baidu.com,由於主域已經不相同了。

在頁面 http://www.example.com/a.html 中設置document.domain:

在頁面 http://example.com/b.html 中也設置document.domain，並且這也是必須的，雖然這個文檔的domain就是example.com,可是仍是必須顯示的設置document.domain的值：

這樣咱們就能夠經過js訪問到iframe中的各類屬性和對象了。

不過若是你想在http://www.example.com/a.html 頁面中經過ajax直接請求http://example.com/b.html 頁面，即便你設置了相同的document.domain也仍是不行的，因此修改document.domain的方法只適用於不一樣子域的框架間的交互。若是你想經過ajax的方法去與不一樣子域的頁面交互，除了使用jsonp的方法外，還能夠用一個隱藏的iframe來作一個代理。原理就是讓這個iframe載入一個與你想要經過ajax獲取數據的目標頁面處在相同的域的頁面，因此這個iframe中的頁面是能夠正常使用ajax去獲取你要的數據的，而後就是經過咱們剛剛講得修改document.domain的方法，讓咱們能經過js徹底控制這個iframe，這樣咱們就可讓iframe去發送ajax請求，而後收到的數據咱們也能夠得到了。

、使用window.name來進行跨域

window對象有個name屬性，該屬性有個特徵：即在一個窗口(window)的生命週期內,窗口載入的全部的頁面都是共享一個window.name的，每一個頁面對window.name都有讀寫的權限，window.name是持久存在一個窗口載入過的全部頁面中的，並不會因新頁面的載入而進行重置。

好比：有一個頁面a.html,它裏面有這樣的代碼：

再看看b.html頁面的代碼：

a.html頁面載入後3秒，跳轉到了b.html頁面，結果爲：

咱們看到在b.html頁面上成功獲取到了它的上一個頁面a.html給window.name設置的值。若是在以後全部載入的頁面都沒對window.name進行修改的話，那麼全部這些頁面獲取到的window.name的值都是a.html頁面設置的那個值。固然，若是有須要，其中的任何一個頁面均可以對window.name的值進行修改。注意，window.name的值只能是字符串的形式，這個字符串的大小最大能容許2M左右甚至更大的一個容量，具體取決於不一樣的瀏覽器，但通常是夠用了。

上面的例子中，咱們用到的頁面a.html和b.html是處於同一個域的，可是即便a.html與b.html處於不一樣的域中，上述結論一樣是適用的，這也正是利用window.name進行跨域的原理。

下面就來看一看具體是怎麼樣經過window.name來跨域獲取數據的。仍是舉例說明。

好比有一個www.example.com/a.html頁面,須要經過a.html頁面裏的js來獲取另外一個位於不一樣域上的頁面www.cnblogs.com/data.html裏的數據。

data.html頁面裏的代碼很簡單，就是給當前的window.name設置一個a.html頁面想要獲得的數據值。data.html裏的代碼：

那麼在a.html頁面中，咱們怎麼把data.html頁面載入進來呢？顯然咱們不能直接在a.html頁面中經過改變window.location來載入data.html頁面，由於咱們想要即便a.html頁面不跳轉也能獲得data.html裏的數據。答案就是在a.html頁面中使用一個隱藏的iframe來充當一箇中間人角色，由iframe去獲取data.html的數據，而後a.html再去獲得iframe獲取到的數據。

充當中間人的iframe想要獲取到data.html的經過window.name設置的數據，只須要把這個iframe的src設爲www.cnblogs.com/data.html就好了。而後a.html想要獲得iframe所獲取到的數據，也就是想要獲得iframe的window.name的值，還必須把這個iframe的src設成跟a.html頁面同一個域才行，否則根據前面講的同源策略，a.html是不能訪問到iframe裏的window.name屬性的。這就是整個跨域過程。

看下a.html頁面的代碼：

上面的代碼只是最簡單的原理演示代碼，你能夠對使用js封裝上面的過程，好比動態的建立iframe,動態的註冊各類事件等等，固然爲了安全，獲取完數據後，還能夠銷燬做爲代理的iframe。網上也有不少相似的現成代碼，有興趣的能夠去找一下。

經過window.name來進行跨域，就是這樣子的。

 

四、使用HTML5中新引進的window.postMessage方法來跨域傳送數據

window.postMessage(message,targetOrigin)  方法是html5新引進的特性，可使用它來向其它的window對象發送消息，不管這個window對象是屬於同源或不一樣源，目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經支持window.postMessage方法。

調用postMessage方法的window對象是指要接收消息的那一個window對象，該方法的第一個參數message爲要發送的消息，類型只能爲字符串；第二個參數targetOrigin用來限定接收消息的那個window對象所在的域，若是不想限定域，可使用通配符 *  。

須要接收消息的window對象，但是經過監聽自身的message事件來獲取傳過來的消息，消息內容儲存在該事件對象的data屬性中。

上面所說的向其餘window對象發送消息，其實就是指一個頁面有幾個框架的那種狀況，由於每個框架都有一個window對象。在討論第二種方法的時候，咱們說過，不一樣域的框架間是能夠獲取到對方的window對象的，並且也可使用window.postMessage這個方法。下面看一個簡單的示例，有兩個頁面

咱們看到b頁面成功的收到了消息。

使用postMessage來跨域傳送數據仍是比較直觀和方便的，可是缺點是IE六、IE7不支持，因此用不用還得根據實際須要來決定。

結語：

除了以上幾種方法外，還有flash、在服務器上設置代理頁面等跨域方式，這裏就不作介紹了。

以上四種方法，能夠根據項目的實際狀況來進行選擇應用，我的認爲window.name的方法既不復雜，也能兼容到幾乎全部瀏覽器，這真是極好的一種跨域方法。

 

轉自：http://www.cnblogs.com/2050/p/3191744.html