5种跨域方式与原理

时间:2022-02-09 17:05:55

 5种跨域方式与原理

同源定义
如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin)
 1.jsonp
script标签是不受同源策略影响的,它可以引入来自任何地方的js文件。 
而jsonp的原理就是,在客户端和服务端定义一个函数,当客户端发起一个请求时,服务端返回一段javascript代码,其中调用了在客户端定义的函数,并将相应的数据作为参数传入该函数。
5种跨域方式与原理

服务端获取到jsonp_callback传递的函数名jsonp_cb,返回一段对该函数调用的js代码:

5种跨域方式与原理

2.img ping

img标签也是没有跨域限制的,但它只能用来发送GET请求,且无法获取服务端的响应文本,可以利用它实现一些简单的、单向的跨域通信,例如跟踪用户的点击
  5种跨域方式与原理

3.window.name

window对象拥有name属性,它有一个特点:相同协议下,在一个页面中,不随URL的改变而改变 
示例代码
  5种跨域方式与原理

在控制台输入window.name,结果依然是”string”

5种跨域方式与原理

window.name的值只能是字符串,任何其他类型的值都会“转化”为字符串 

 5种跨域方式与原理

通过window.name实现跨域也很简单,iframe拥有contentWindow属性,其指向该iframe的window对象的引用

 5种跨域方式与原理

然而,chrome会提示你跨域了! 
而我们已经知道window.name不随URL的改变而改版,也就是说,onload时,已经获取到了name,只不过因为不同源,当前页面的脚本无法拿到iframe.contentWindow.name

 5种跨域方式与原理

刷新页面,你会发现iframe不断刷新,这是因为每次onload,iframe的src被修改,然后再次触发onload,从而导致iframe循环刷新

5种跨域方式与原理

上面请求的是一个静态页面,而服务端通常需要的是动态数据

 5种跨域方式与原理

4.postMessage

postMessage允许不同源之间的脚本进行通信,用法
otherWindow.postMessage(message, targetOrigin);
  • otherWindow 引用窗口 iframe.contentwindow 或 window.open返回的对象
  • message 为要传递的数据
  • targetOrigin 为目标源

 5种跨域方式与原理

5.CORS

CORS(跨域资源共享)是一种跨域访问的机制,可以让AJAX实现跨域访问。它允许一个域上的脚本向另一个域提交跨域 AJAX 请求。实现此功能非常简单,只需由服务器发送一个响应标头即可。
5种跨域方式与原理

当客户端的ajax请求的url为其他域时,对于支持CORS的浏览器,请求头会自动添加Origin,值为当前host

5种跨域方式与原理

CORS默认不发送cookie,如果要发送cookie,需要设置withCredentials

5种跨域方式与原理

同时,服务端也要设置

5种跨域方式与原理