ajax之面試必問跨域問題

ajax之面試必問跨域問題，若是你知道jsonp就弱爆了，往深處稍微問那麼一丟丟，你就會被虐的萬劫不復...我的總結ajax：

一、什麼是跨域
二、document.domain+iframe的設置
三、動態建立script
四、利用iframe和location.hash
五、window.name實現的跨域數據傳輸
六、使用HTML5 postMessage
七、利用flash

一、跨域是有瀏覽器的同源策略引發的（必定要記住通同源策略引發的）

---

同源策略：同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，若是缺乏了同源策略，則瀏覽器的正常功能可能都會受到影響。能夠說Web是構建在同源策略基礎之上的，瀏覽器只是針對同源策略的一種實現。所謂同源是指，域名，協議，端口相同。不一樣源的客戶端腳本(javascript、ActionScript)在沒明確受權的狀況下，不能讀寫對方的資源。
看看下面的表格，分析下主域名和子域名，跨域和IP是不一樣的，詳見表格吧~

二、document.domain+iframe的設置

對於主域相同而子域不一樣的例子，能夠經過設置document.domain的辦法來解決。具體的作法是能夠在http://www.a.com/a.html和http://script.a.com/b.html兩個文件中分別加上document.domain = ‘a.com’；而後經過a.html文件中建立一個iframe，去控制iframe的contentDocument，這樣兩個js文件之間就能夠「交互」了。固然這種辦法只能解決主域相同而二級域名不一樣的狀況，若是你異想天開的把script.a.com的domian設爲alibaba.com那顯然是會報錯地！代碼以下：
www.a.com上的a.html

document.domain = 'a.com';
var ifr = document.createElement('iframe');
ifr.src = 'http://script.a.com/b.html';
ifr.style.display = 'none';
document.body.appendChild(ifr);
ifr.onload = function(){
    var doc = ifr.contentDocument || ifr.contentWindow.document;
    // 在這裏操縱b.html
    alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue);
};

script.a.com上的b.html

document.domain = 'a.com';

這種方式適用於{www.kuqin.com, kuqin.com, script.kuqin.com, css.kuqin.com}中的任何頁面相互通訊。

備註：某一頁面的domain默認等於window.location.hostname。主域名是不帶www的域名，例如a.com，主域名前面帶前綴的一般都爲二級域名或多級域名，例如www.a.com實際上是二級域名。 domain只能設置爲主域名，不能夠在b.a.com中將domain設置爲c.a.com。

問題：
一、安全性，當一個站點（b.a.com）被攻擊後，另外一個站點（c.a.com）會引發安全漏洞。
二、若是一個頁面中引入多個iframe，要想可以操做全部iframe，必須都得設置相同domain。

二、動態建立script

雖然瀏覽器默認禁止了跨域訪問，但並不由止在頁面中引用其餘域的JS文件，並能夠自由執行引入的JS文件中的function（包括操做cookie、Dom等等）。根據這一點，能夠方便地經過建立script節點的方法來實現徹底跨域的通訊。具體的作法能夠參考YUI的Get Utility

這裏判斷script節點加載完畢仍是蠻有意思的：ie只能經過script的readystatechange屬性，其它瀏覽器是script的load事件。如下是部分判斷script加載完畢的方法。

js.onload = js.onreadystatechange = function() {
    if (!this.readyState || this.readyState === 'loaded' || this.readyState === 'complete') {
        // callback在此處執行
        js.onload = js.onreadystatechange = null;
    }
};

利用iframe和location.hash

這個辦法比較繞，可是能夠解決徹底跨域狀況下的腳步置換問題。原理是利用location.hash來進行傳值。在url： http://a.com#helloword中的‘#helloworld’就是location.hash，改變hash並不會致使頁面刷新，因此能夠利用hash值來進行數據傳遞，固然數據容量是有限的。假設域名a.com下的文件cs1.html要和cnblogs.com域名下的cs2.html傳遞信息，cs1.html首先建立自動建立一個隱藏的iframe，iframe的src指向cnblogs.com域名下的cs2.html頁面，這時的hash值能夠作參數傳遞用。cs2.html響應請求後再將經過修改cs1.html的hash值來傳遞數據（因爲兩個頁面不在同一個域下IE、Chrome不容許修改parent.location.hash的值，因此要藉助於a.com域名下的一個代理iframe；Firefox能夠修改）。同時在cs1.html上加一個定時器，隔一段時間來判斷location.hash的值有沒有變化，一點有變化則獲取獲取hash值。代碼以下：

先是a.com下的文件cs1.html文件：

function startRequest(){
    var ifr = document.createElement('iframe');
    ifr.style.display = 'none';
    ifr.src = 'http://www.cnblogs.com/lab/cscript/cs2.html#paramdo';
    document.body.appendChild(ifr);
}

function checkHash() {
    try {
        var data = location.hash ? location.hash.substring(1) : '';
        if (console.log) {
            console.log('Now the data is '+data);
        }
    } catch(e) {};
}
setInterval(checkHash, 2000);

cnblogs.com域名下的cs2.html:

//模擬一個簡單的參數處理操做
switch(location.hash){
    case '#paramdo':
        callBack();
        break;
    case '#paramset':
        //do something……
        break;
}

function callBack(){
    try {
        parent.location.hash = 'somedata';
    } catch (e) {
        // ie、chrome的安全機制沒法修改parent.location.hash，
        // 因此要利用一箇中間的cnblogs域下的代理iframe
        var ifrproxy = document.createElement('iframe');
        ifrproxy.style.display = 'none';
        ifrproxy.src = 'http://a.com/test/cscript/cs3.html#somedata';    // 注意該文件在"a.com"域下
        document.body.appendChild(ifrproxy);
    }
}

a.com下的域名cs3.html

//由於parent.parent和自身屬於同一個域，因此能夠改變其location.hash的值
parent.parent.location.hash = self.location.hash.substring(1);

四、window.name實現的跨域數據傳輸

五、使用HTML5 postMessage

六、利用flash

詳細的介紹請查看http://www.cnblogs.com/rainman/archive/2011/02/20/1959325.html#m3此連接