什么是跨域?
概念:只要協(xié)議、域名、端口有任何一個(gè)不同,都被當(dāng)作是不同的域。
對于端口和協(xié)議的不同,只能通過后臺來解決。
跨域資源共享(CORS)
CROS(Cross-Origin Resource Sharing)跨域資源共享,定義了必須在訪問跨域資源時(shí),瀏覽器與服務(wù)器應(yīng)該如何溝通。CROS背后的基本思想就是使用自定義的HTTP頭部讓瀏覽器與服務(wù)器進(jìn)行溝通,從而決定請求或響應(yīng)是應(yīng)該成功還是失敗。
以上的trigkit4是相對路徑,如果我們要使用CORS,相關(guān)Ajax代碼可能如下所示:
代碼與之前的區(qū)別就在于相對路徑換成了其他域的絕對路徑,也就是你要跨域訪問的接口地址。
服務(wù)器端對于CORS的支持,主要就是通過設(shè)置Access-Control-Allow-Origin來進(jìn)行的。如果瀏覽器檢測到相應(yīng)的設(shè)置,就可以允許Ajax進(jìn)行跨域的訪問。
要解決跨域的問題,我們可以使用以下幾種方法:
通過jsonp跨域
現(xiàn)在問題來了?什么是jsonp?維基百科的定義是:JSONP(JSON with Padding)是資料格式 JSON 的一種“使用模式”,可以讓網(wǎng)頁從別的網(wǎng)域要資料。
JSONP也叫填充式JSON,是應(yīng)用JSON的一種新方法,只不過是被包含在函數(shù)調(diào)用中的JSON,例如:
JSONP由兩部分組成:回調(diào)函數(shù)和數(shù)據(jù)。回調(diào)函數(shù)是當(dāng)響應(yīng)到來時(shí)應(yīng)該在頁面中調(diào)用的函數(shù),而數(shù)據(jù)就是傳入回調(diào)函數(shù)中的JSON數(shù)據(jù)。
在js中,我們直接用XMLHttpRequest請求不同域上的數(shù)據(jù)時(shí),是不可以的。但是,在頁面上引入不同域上的js腳本文件卻是可以的,jsonp正是利用這個(gè)特性來實(shí)現(xiàn)的。 例如:
js文件載入成功后會執(zhí)行我們在url參數(shù)中指定的函數(shù),并且會把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進(jìn)行相應(yīng)的配合的。
最終,輸出結(jié)果為:dosomething(['a','b','c']);
如果你的頁面使用jquery,那么通過它封裝的方法就能很方便的來進(jìn)行jsonp操作了。
jquery會自動生成一個(gè)全局函數(shù)來替換callback=?中的問號,之后獲取到數(shù)據(jù)后又會自動銷毀,實(shí)際上就是起一個(gè)臨時(shí)代理函數(shù)的作用。$.getJSON方法會自動判斷是否跨域,不跨域的話,就調(diào)用普通的ajax方法;跨域的話,則會以異步加載js文件的形式來調(diào)用jsonp的回調(diào)函數(shù)。
JSONP的優(yōu)缺點(diǎn)
JSONP的優(yōu)點(diǎn)是:它不像XMLHttpRequest對象實(shí)現(xiàn)的Ajax請求那樣受到同源策略的限制;它的兼容性更好,在更加古老的瀏覽器中都可以運(yùn)行,不需要XMLHttpRequest或ActiveX的支持;并且在請求完畢后可以通過調(diào)用callback的方式回傳結(jié)果。
JSONP的缺點(diǎn)則是:它只支持GET請求而不支持POST等其它類型的HTTP請求;它只支持跨域HTTP請求這種情況,不能解決不同域的兩個(gè)頁面之間如何進(jìn)行JavaScript調(diào)用的問題。
CROS和JSONP對比
CORS與JSONP相比,無疑更為先進(jìn)、方便和可靠。
1、 JSONP只能實(shí)現(xiàn)GET請求,而CORS支持所有類型的HTTP請求。
2、 使用CORS,開發(fā)者可以使用普通的XMLHttpRequest發(fā)起請求和獲得數(shù)據(jù),比起JSONP有更好的錯(cuò)誤處理。
3、 JSONP主要被老的瀏覽器支持,它們往往不支持CORS,而絕大多數(shù)現(xiàn)代瀏覽器都已經(jīng)支持了CORS)。
通過修改document.domain來跨子域
瀏覽器都有一個(gè)同源策略,其限制之一就是第一種方法中我們說的不能通過ajax的方法去請求不同源中的文檔。 它的第二個(gè)限制是瀏覽器中不同域的框架之間是不能進(jìn)行js的交互操作的。
不同的框架之間是可以獲取window對象的,但卻無法獲取相應(yīng)的屬性和方法。比如,有一個(gè)頁面,它的地址是http://www.example.com/a.html , 在這個(gè)頁面里面有一個(gè)iframe,它的src是http://example.com/b.html, 很顯然,這個(gè)頁面與它里面的iframe框架是不同域的,所以我們是無法通過在頁面中書寫js代碼來獲取iframe中的東西的:
這個(gè)時(shí)候,document.domain就可以派上用場了,我們只要把http://www.example.com/a.html 和 http://example.com/b.html這兩個(gè)頁面的document.domain都設(shè)成相同的域名就可以了。但要注意的是,document.domain的設(shè)置是有限制的,我們只能把document.domain設(shè)置成自身或更高一級的父域,且主域必須相同。
1.在頁面 http://www.example.com/a.html 中設(shè)置document.domain:
修改document.domain的方法只適用于不同子域的框架間的交互。
新聞熱點(diǎn)
疑難解答
