前端-跨域

一、跨域資源共享 CORS

對於web開發來說，因爲瀏覽器的同源策略，咱們須要常用一些hack的方法去跨域獲取資源，可是hack的方法總歸是hack。

直到W3C出了一個標準－CORS－」跨域資源共享」（Cross-origin resource sharing）。

同源策略：同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，若是缺乏了同源策略，則瀏覽器的正常功能可能都會受到影響。能夠說Web是構建在同源策略基礎之上的，瀏覽器只是針對同源策略的一種實現。

所謂同源是指，域名，協議，端口相同。

它容許瀏覽器向跨源服務器，發出XMLHttpRequest請求，從而克服了AJAX只能同源使用的限制。

首先來講 CORS須要瀏覽器和服務端同時支持的，對於兼容性來講主要是ie10+，其它現代瀏覽器都是支持的。（就是說，這個跨域是須要瀏覽器端與服務器端共同協做的）

使用方法：使用 CORS 跨域的時候其實和普通的 ajax 過程是同樣的，只是瀏覽器在發現這是一個跨域請求的時候會自動幫咱們處理一些事，好比驗證等等，

因此說只要服務端提供支持，前端是不須要作額外的事情的。

兩種請求:

CORS的請求分兩種，這也是瀏覽器爲了安全作的一些處理，不一樣狀況下瀏覽器執行的操做也是不同的，主要分爲兩種請求，固然這一切咱們是不須要作額外處理的，瀏覽器會自動處理的。

1）簡單請求（simple request）

條件 1) 請求方法是如下三種方法中的一個：
HEAD
GET
POST
2）HTTP的頭信息不超出如下幾種字段：
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

過程
對於簡單的跨域請求，瀏覽器會自動在請求的頭信息加上 Origin 字段，表示本次請求來自哪一個源（協議 + 域名 +端口），服務端會獲取到這個值，而後判斷是否贊成此次請求並返回。
// 請求
GET /cors HTTP/1.1 Origin: http://api.qiutc.me
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

1.服務端容許
若是服務端許可本次請求，就會在返回的頭信息多出幾個字段：
// 返回
Access-Control-Allow-Origin: http://api.qiutc.me
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: Info
Content-Type: text/html; charset=utf-8
這三個帶有 Access-Control 開頭的字段分別表示：
Access-Control-Allow-Origin：
必須。它的值是請求時Origin字段的值或者 *，表示接受任意域名的請求。
Access-Control-Allow-Credentials：
可選。它的值是一個布爾值，表示是否容許發送Cookie。默認狀況下，Cookie不包括在CORS請求之中。設爲true，即表示服務器明確許可，Cookie能夠包含在請求中，一塊兒發給服務器。
再須要發送cookie的時候還須要注意要在AJAX請求中打開withCredentials屬性：var xhr = new XMLHttpRequest(); xhr.withCredentials=true;
須要注意的是，若是要發送Cookie，Access-Control-Allow-Origin就不能設爲*，必須指定明確的、與請求網頁一致的域名。同時，Cookie依然遵循同源政策，只有用服務器域名設置的Cookie纔會上傳，
其餘域名的Cookie並不會上傳，且原網頁代碼中的document.cookie也沒法讀取服務器域名下的Cookie。
Access-Control-Expose-Headers：
可選。CORS請求時，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。
若是想拿到其餘字段，就必須在Access-Control-Expose-Headers裏面指定。上面的例子指定，getResponseHeader('Info')能夠返回Info字段的值。

2.服務端拒絕
固然咱們爲了防止接口被亂調用，須要限制源，對於不容許的源，服務端仍是會返回一個正常的HTTP迴應，可是不會帶上Access-Control-Allow-Origin 字段，
瀏覽器發現這個跨域請求的返回頭信息沒有該字段，就會拋出一個錯誤，會被 XMLHttpRequest的 onerror 回調捕獲到。
這種錯誤沒法經過 HTTP 狀態碼判斷，由於迴應的狀態碼有多是200

2）非簡單請求

條件
除了簡單請求之外的CORS請求。
非簡單請求是那種對服務器有特殊要求的請求，好比請求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。

過程 1）預檢請求
非簡單請求的CORS請求，會在正式通訊以前，增長一次HTTP查詢請求，稱爲」預檢」請求（preflight）。
瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可使用哪些HTTP動詞和頭信息字段。
只有獲得確定答覆，瀏覽器纔會發出正式的XMLHttpRequest請求，不然就報錯。
預檢請求的發送請求：
OPTIONS /cors HTTP/1.1
Origin: http://api.qiutc.me
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.qiutc.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...
「預檢」請求用的請求方法是OPTIONS，表示這個請求是用來詢問的。
頭信息裏面，關鍵字段是Origin，表示請求來自哪一個源。
除了Origin字段，」預檢」請求的頭信息包括兩個特殊字段。
Access-Control-Request-Method：
該字段是必須的，用來列出瀏覽器的CORS請求會用到哪些HTTP方法，上例是PUT。
Access-Control-Request-Headers：
該字段是一個逗號分隔的字符串，指定瀏覽器CORS請求會額外發送的頭信息字段，上例是X-Custom-Header。
預檢請求的返回：
HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://api.qiutc.me
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain
Access-Control-Allow-Methods
必需，它的值是逗號分隔的一個字符串，代表服務器支持的全部跨域請求的方法。
注意，返回的是全部支持的方法，而不單是瀏覽器請求的那個方法。這是爲了不屢次」預檢」請求。
Access-Control-Allow-Headers：
若是瀏覽器請求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的。
它也是一個逗號分隔的字符串，代表服務器支持的全部頭信息字段，不限於瀏覽器在」預檢」中請求的字段。
Access-Control-Max-Age：
該字段可選，用來指定本次預檢請求的有效期，單位爲秒。上面結果中，有效期是20天（1728000秒），即容許緩存該條迴應1728000秒（即20天），在此期間，不用發出另外一條預檢請求。
2）瀏覽器的正常請求和迴應
一旦服務器經過了」預檢」請求，之後每次瀏覽器正常的CORS請求，就都跟簡單請求同樣，會有一個Origin頭信息字段。
服務器的迴應，也都會有一個Access-Control-Allow-Origin頭信息字段。

二、jsonp

jsonp = json + padding
其實對於經常使用性來講，jsonp應該是使用最常常的一種跨域方式了，他不受瀏覽器兼容性的限制。
可是他也有他的侷限性，只能發送 GET （獲取數據，是沒有問題的）
請求，須要**服務端和前端**規定好，寫法醜陋。
它的原理：在於瀏覽器請求 script 資源不受同源策略限制，而且請求到 script 資源後**當即執行**。

主要作法是這樣的：
在瀏覽器端：
首先全局註冊一個callback回調函數，記住這個函數名字（好比：resolveJson），
這個函數接受一個參數，參數是指望的到的服務端返回數據，函數的具體內容是處理這個數據。（以下邊的參數result，函數的內容是處理這個數據參數）
而後動態生成一個script 標籤，
src爲：請求資源的地址＋獲取函數的字段名＋回調函數名稱，
這裏的獲取函數的字段名是要和服務端約定好的，是爲了讓服務端拿到回調函數名稱。（如：www.qiute.com?callbackName=resolveJson，這樣一個地址請求獲得的是js文件裏邊的數據資源）。
function resolveJosn(result) {
    console.log(result.name);
}
var jsonpScript= document.createElement("script");
jsonpScript.type = "text/javascript";
jsonpScript.src = "http://www.qiute.com?callbackName=resolveJson";
document.getElementsByTagName("head")[0].appendChild(jsonpScript);
服務端
在接受到瀏覽器端 script的請求以後，從url的query的callbackName獲取到回調函數的名字，例子中是resolveJson。
而後動態生成一段javascript片斷去給這個函數傳入參數執行這個函數。好比：resolveJson({name: 'qiutc'});
執行
服務端返回這個 script 以後，瀏覽器端獲取到 script 資源，而後會當即執行這個javascript，也就是上面那個片斷。
這樣就能根據以前寫好的回調函數處理這些數據了。
在一些第三方庫每每都會封裝jsonp的操做，好比 jQuery 的$.getJSON。

具體寫一個JSONP的實例：

// 客戶端的代碼，須要
<script>
    //一個函數定義，數據處理在這裏進行
    function getWeather(data) {
        console.log(data);
    }
    //建立<script>標籤，發送請求，獲取保存數據的js文件
    var jsonpScript= document.createElement("script");
    jsonpScript.type = "text/javascript";
    jsonpScript.src = "http://www.qiute.com?callbackName=resolveJson"||"http://x.y.com/xx.js";
    document.getElementsByTagName("head")[0].appendChild(jsonpScript);
</script>
//服務端的js文件裏邊保存的數據，內容以下：
//xx.js
getWeather({
"城市": "北京",
"天氣": "大霧"
});

三、document.domain：利用了iframe地址URL無限制的特性，本質上與JSONP一致，不過限制條件更多一些。（同一個基礎域名!並且所用的協議，端口都要一致的嵌入頁面，不一樣域名的狀況仍是受限）

一個頁面框架（iframe／frame）之間（父子或同輩），是可以獲取到彼此的window對象的，可是這個 window不能拿到方法和屬性（尼瑪這有什麼用，甩臉）。
// 當前頁面域名 http://blog.qiutc.me/a.html
<script>
function onLoad() {
    var iframe =document.getElementById('iframe');
    var iframeWindow = iframe.contentWindow; // 這裏能夠獲取 iframe 裏面 window 對象，可是幾乎沒用，是的，幾乎沒用
    var doc = iframeWindow.document; // 獲取不到
}
</script>
<iframe src="http://www.qiutc.me/b.html" onload="onLoad()"</iframe>

這個時候，document.domain 就能夠派上用場了，
咱們只要把 http://blog.qiutc.me/a.html 和 http://www.qiutc.me/b.html 這兩個頁面的 document.domain 都設成相同的域名就能夠了。
前提條件：這兩個域名必須屬於同一個基礎域名!並且所用的協議，端口都要一致。
但要注意的是，document.domain的設置是有限制的，咱們只能把 document.domain設置成自身或更高一級的父域，且主域必須相同。
例如：a.b.example.com 中某個文檔的 document.domain能夠設成a.b.example.com、b.example.com、example.com中的任意一個，可是不能夠設成 
c.a.b.example.com,由於這是當前域的子域，也不能夠設成baidu.com,由於主域已經不相同了。
這樣咱們就能夠經過js訪問到iframe中的各類屬性和對象了。 // 主頁面：http://blog.qiutc.me/a.html
<script>
document.domain = 'qiutc.me';
function onLoad() {
    var iframe =document.getElementById('iframe');
    var iframeWindow = iframe.contentWindow; // 這裏能夠獲取 iframe 裏面 window 對象而且能獲得方法和屬性
    var doc = iframeWindow.document; // 獲取到
}
</script>
<iframe src="http://www.qiutc.me/b.html" onload="onLoad()"</iframe>
// iframe 裏面的頁面
<script>
document.domain = 'qiutc.me';
</script>

四、window.name：瀏覽器窗口的時間內，這個屬性是一直存在且不變的。（這裏的跨域，指的是跨頁面獲取數據）

window對象有個name屬性，該屬性有個特徵：即在一個窗口(window)的***生命週期內***,窗口載入的***全部的頁面都是***共享一個 window.name的，
每一個頁面對 window.name 都有讀寫的權限，window.name 是持久存在一個窗口載入過的全部頁面中的，並不會因新頁面的載入而進行重置。
當這個窗口關閉的時候，window.name會清空。

好比有一個www.qiutc.me/a.html頁面，須要經過a.html頁面裏的js來獲取另外一個位於不一樣域上的頁面www.qiutc.com/data.html頁面裏的數據。
data.html頁面裏的代碼很簡單，就是給當前的window.name設置一個a.html頁面想要獲得的數據值。
data.html裏的代碼：
<script>
　　window.name = '我是被指望獲得的數據';
</script>
那麼在 a.html 頁面中，咱們怎麼把 data.html 頁面載入進來呢？顯然咱們不能直接在 a.html 頁面中經過改變window.location 來載入data.html頁面（這簡直扯蛋）
由於咱們想要即便 a.html頁面不跳轉也能獲得data.html裏的數據。
答案就是在 a.html 頁面中使用一個隱藏的 iframe 來充當一箇中間人角色，由 iframe 去獲取 data.html的數據，而後a.html再去獲得iframe獲取到的數據。
充當中間人的 iframe 想要獲取到data.html的經過window.name設置的數據，只須要把這個iframe的src設爲www.qiutc.com/data.html就好了。
而後a.html想要獲得iframe所獲取到的數據，也就是想要獲得iframe的window.name的值，
還必須把這個iframe的src設成跟a.html頁面同一個域才行，否則根據前面講的同源策略，a.html是不能訪問到iframe裏的window.name屬性的。
這就是整個跨域過程。
// a.html
<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>Document</title>
  <script>
    function getData() {
        var iframe =document.getElementById('iframe');
        iframe.onload = function() {
            var data = iframe.contentWindow.name; // 獲得
        }
        iframe.src = 'b.html';  // 這裏b和a同源，保證能夠獲取到裏邊的內容。其實window.name是一個全局的對象，在iframe外邊也是能夠獲取的。
　　　　//這裏是要保證iframe加載完成接下去的操做。總不能說等着，而後延遲一會，在繼續。
　　　　//每個框架都有一個window對象，因此這裏獲取的是iframe的window對象。一個iframe就是一個框架。
    }
  </script>
</head>
<body>
  <iframe src="http://www.qiutc.com/data.html" style="display:none" onload="getData()"</iframe>
</body>
</html>

a.html想要獲取數據，能夠直接使用window.name，可是要保證此時window.name保存的數據是剛通過data.html頁面設置過的，這樣才能獲取須要的數據。

因此要使用嵌入頁面來加載一次data.html頁面，還要保證，在加載完成以後接着處理以前的業務。

五、[HTML5]window.postMessage

一、windowObj.postMessage(message, targetOrigin)，

方法是html5新引進的特性，可使用它來向其它的window對象發送消息，不管這個window對象是屬於同源或不一樣源。

參數以下：

windowObj：接受消息的Window對象；

message：在最新的瀏覽器中能夠是對象；

targetOrigin：目標的源，* 表示任意。

二、message事件，用來接收發送過來的請求，

其事件對象event包括以下的屬性：

origin：發送消息的window源；

data：數據；

source：發送消息的Window對象。

以下實例：

var windowObj = window; // 能夠是其餘的 Window 對象的引用
var data = null;
addEventListener('message', function(e){
    if(e.origin == 'http://jasonkid.github.io/fezone') {
        data = e.data;
        e.source.postMessage('Got it!', '*');
    }
});
//message 事件就是用來接收 postMessage 發送過來的請求的。

兼容性：

http://caniuse.com/#search=postMessage
調用postMessage方法的window對象是指要接收消息的那一個window對象，該方法的第一個參數message爲要發送的消息，類型只能爲字符串；
第二個參數targetOrigin用來限定接收消息的那個window對象所在的域，若是不想限定域，可使用通配符 * 。
須要接收消息的window對象，能夠經過監聽自身的message事件來獲取傳過來的消息，消息內容儲存在該事件對象的data屬性中。
上面所說的向其餘window對象發送消息，其實就是指一個頁面有幾個框架的那種狀況，由於每個框架都有一個window對象。
在討論第3種方法的時候，咱們說過，不一樣域的框架間是能夠獲取到對方的window對象的，雖然沒什麼用，可是有一個方法是可用的－window.postMessage。

下面看一個簡單的示例，有兩個頁面：
// 主頁面  blog.qiutc.com，
<script>
function onLoad() {
    var iframe =document.getElementById('iframe');
    var iframeWindow = iframe.contentWindow;
　　//獲取嵌入頁面的window對象
    iframeWindow.postMessage("I'm message from main page.");
}
</script>
<iframe src="http://www.qiutc.me/b.html" onload="onLoad()"</iframe>
// b 頁面
<script>
window.onmessage = function(e) {
    e = e || event;
    console.log(e.data);
}
</script>

六、CSST (CSS Text Transformation) 

一種用 CSS 跨域傳輸文本的方案。
優勢：相比 JSONP 更爲安全，不須要執行跨站腳本。
缺點：沒有 JSONP 適配廣，CSST 依賴支持 CSS3 的瀏覽器。
原理：經過讀取 CSS3 content 屬性獲取傳送內容。
具體能夠參考：CSST (CSS Text Transformation)

七、利用flash

flash 嘛，這個東西註定滅亡，不想說了。。。