javascript跨域有兩種情況:
1、基于同一父域的子域之間,如:a.c.com和b.c.com
2、基于不同的父域之間,如:www.a.com和www.b.com
3、端口的不同,如:www.a.com:8080和www.a.com:8088
4、協(xié)議不同,如:http://www.a.com和https://www.a.com
對于情況3和4,需要通過后臺proxy來解決,具體方式如下:
a、在發(fā)起方的域下創(chuàng)建proxy程序
b、發(fā)起方的js調(diào)用本域下的proxy程序
c、proxy將請求發(fā)送給接收方并獲取相應數(shù)據(jù)
d、proxy將獲得的數(shù)據(jù)返回給發(fā)起方的js
代碼和ajax調(diào)用一致,其實這種方式就是通過ajax進行調(diào)用的
而情況1和2除了通過后臺proxy這種方式外,還可以有多種辦法來解決:
1、document.domain+iframe(只能解決情況1):
a、在發(fā)起方頁面和接收方頁面設置document.domain,并將值設為父域的主域名(window.location.hostname)
b、在發(fā)起方頁面創(chuàng)建一個隱藏的iframe,iframe的源是接收方頁面
c、根據(jù)瀏覽器的不同,通過iframe.contentDocument || iframe.contentWindow.document來獲得接收方頁面的內(nèi)容
d、通過獲得的接收方頁面的內(nèi)容來與接收方進行交互
這種方法有個缺點,就是當一個域被攻擊時,另一個域會有安全漏洞出現(xiàn)。
2、 動態(tài)創(chuàng)建script(也就是jsonp)
a、在發(fā)起方頁面動態(tài)加載一個script,script的URL指向接收方的一個處理地址(后臺),該地址返回的javascript方法會被執(zhí)行,另外URL中可以傳入一些參數(shù),該方法只支持GET方式提交參數(shù)。
b、加載的script可以在調(diào)用跨域js方法后再做一些自己的處理
3、location.hash+iframe:
a、發(fā)起方創(chuàng)建一個隱藏的iframe,iframe的源指向接收方的頁面,并通過接收方頁面的hash值來傳送數(shù)據(jù)
b、發(fā)起方創(chuàng)建一個定時器,定時檢查自己的location.hash并作相應的處理
c、接收方創(chuàng)建一個隱藏的iframe,iframe的源指向發(fā)起方所在域的一個代理頁面,并將接收方根據(jù)發(fā)起方傳入的數(shù)據(jù)而處理后的數(shù)據(jù)通過代理頁面的hash值來傳送
d、接收方創(chuàng)建一個定時器,定時檢查自己的location.hash并作相應的處理
e、代理頁面創(chuàng)建一個定時器,定時檢查自己的location.hash并同步更新發(fā)起方頁面的hash值 www.a.com/a.html#aaa,其中#aaa就是location.hash值
4、window.name:
a、發(fā)起方頁面創(chuàng)建一個隱藏的iframe,并且源指向接收方頁面
b、接收方在自己頁面通過script將需要傳送的數(shù)據(jù)放入window.name里
c、發(fā)起方在iframe的onload方法里將iframe的源改為和自己在同一個域下的代理頁面(因為只能是同一個域下才能訪問window.name的值)
d、獲取window.name的值(雖然iframe的源改變了,但是window.name的值不會變)
window.name的值差不多可以有2MB大小
5、HTML5的postMessage
a、receiverWindow.postMessage(msg, targetOrigin),receiverWindow就是對接收消息的window的引用,可以是iframe的contentWindow/window.open的返回值/window.frames中的一個;msg就是要發(fā)送的消息,string類型;targetOrigin用于限制receiverWindow的URI,包括主域名和端口,使用“*”表示無限制,但是為了安全起見還是需要設置下,以防把消息發(fā)送給惡意的網(wǎng)站,如果targetOrigin的URI和receiverWindow的不符,則放棄發(fā)送消息。
b、接收方通過message事件來獲得消息,并且通過event.origin的屬性來驗證發(fā)送方并通過event.data來獲得傳送的消息內(nèi)容,event.source來獲得發(fā)送方的window對象
6、window.opener(
適用于IE6、7,也就是operner hack方法,不過貌似現(xiàn)在已經(jīng)不管用了,只要打過微軟的安全補丁.kb2497640就不能用了
a、發(fā)起方頁面創(chuàng)建一個隱藏的iframe,并且源指向接收方頁面
b、發(fā)起方頁面通過iframe.contentWindow.opener = {a: function(params){...}, b: function(params){...} ...}來定義可被接收方調(diào)用的方法
c、接收方頁面通過window.opener.a/window.opener.b來調(diào)用發(fā)起方定義的方法
d、接收方頁面通過parent.opener = {c: function(params){...}, d: function(params){...} ...}來定義可被發(fā)起方調(diào)用的方法
e、發(fā)起方頁面通過opener.c/opener.d來調(diào)用接收方定義的方法
其實原理就是重置opener對象
7、window.navigator
適用于IE6、7,貌似現(xiàn)在還能用,還沒被補丁掉
a、發(fā)起方頁面創(chuàng)建一個隱藏的iframe,并且源指向接收方頁面
b、發(fā)起方頁面通過window.navigator.a = function(params){...}; window.navigator.b = function(params){...}; 來定義被接 收方調(diào)用的方法
c、接收方頁面通過window.navigator.a(params); window.navigator.b(params);來調(diào)用發(fā)起方定義的方法
d、接收方頁面通過window.navigator.c = function(params){...}; window.navigator.d = function(params){...}; 來定義被發(fā)起方調(diào)用的方法