Web 前端跨域访问

内容列表

为了用户的安全,浏览器通常都会限制跨域(Cross-domain)访问,也就是默认不允许不同域名下页面之间进行资源的传递和信息交互,但很多时候我们又有跨域请求资源的需求。

同源策略

我们要在地址栏中正确输入“协议”、“域名”、“端口”、“文件路径”才能访问一个页面,其中任意一个不正确就不会达到我们期望的结果。所谓的跨域就是当协议域名端口这三者有一个不同时即称为跨域访问,这时候浏览器为了用户安全就会限制 JavaScript 的跨域行为,这也叫做同源策略(由网景公司提出)。

通常一个公司(组织、团队)会申请一个主域名,然后根据服务类型分出多个二级域名,在某些涉及到敏感信息的页面又会采用 HTTPS 协议加密,或许还有更多的类似需求,这些需求大多都需要跨域共享资源才能实现用户的定制服务。所以,跨域访问不是个能避免的问题,在不破坏浏览器安全性的前提下我们需要去解决它。

实现跨域访问

我们的跨域访问需求是多样化的,因此解决方法也是多样化的,下面就介绍一些常用的方法。

响应头标识

随着 Ajax 技术的大量使用,Ajax 跨域请求的需求日益增多,我们可以在服务器端很简单的解决这个问题,即在相应文件中添加响应头标识。

// 在服务器端的文件中加上以下响应头(允许所有域名跨域访问该资源)
header('Access-Control-Allow-Origin: *');

// 只允许指定的域名跨域访问该资源
header('Access-Control-Allow-Origin: http://www.163.com');

如果要指定多个域名,相互之间用逗号隔开就可以了。

jsonp

json 是一种很简单的数据格式,鉴于它的简单性以及 script 标签可跨域的特性,我们采用 jsonp 的方式跨域访问资源。

客户端代码
<script>
	// 在全局创建一个回调函数(result 参数为跨域访问到的资源)
	function callback(result){
		...
		// 在这里处理跨域访问到的资源(也可以保存在全局变量中)
		...
		// 最后销毁全局的回调函数
		window.callback = null;
		// 移除动态创建的 script
		document.body.removeChild(document.getElementById('nScript'));
	}
	// 自执行,避免污染全局空间
	(function(){
		// 动态创建 script 插入DOM树,实现跨域访问资源
		var nScript = document.createElement('script');
		nScript.id = "nScript";
		nScript.src = "http://www.163.com/info.php?call=callback";
		document.body.appendChild(nScript);
	})(window);
</script>

**注意这个回调函数必须在全局空间内,否则无法被新创建的 <script> 标签调用,该回调函数是在新创建的 script 标签的 src 属性值中以参数方式发送给服务器端的。**该函数执行完毕后,我们也可以自己销毁它,避免污染全局空间;当然,如果我们给动态创建的 script 标签指定一个 id 的话,我们也可以移除该 script 元素。

服务器端代码
<?php
	header('Content-type: application/json');
	// 获取回调方法名(注意与客户端参数名对应)
	$call = htmlspecialchars($_GET['call']);
	// 要返回的 json 格式数据
	$data = "['Name','Sex','Age']";

	echo $call."({$data})";
 ?>

事实上,所谓的 jsonp 就是通过客户端将回调函数名发送给服务器端,服务器端再把要返回的 json 数据当作参数与方法名拼接成一段 JavaScript 代码返回给客户端,客户端执行得到的 js 代码表达式(调用回调方法)就实现了跨域访问资源。

window.name

**在浏览器中只要处于同一个窗口下,无论页面如何跳转,所有在该窗口下的页面都共享(同步)window.name属性(包括获取、修改操作)。**所以,我们可以将需要跨域访问的资源保存在该属性中共享即可。

客户端代码
<sctipt>
	// 自执行,避免污染全局空间
	(function(){
		// 动态创建 iframe 插入DOM树,实现跨域访问资源
		var nIframe = document.createElement('iframe');
		nIframe.style.cssText = 'display: none';
		nIframe.src = 'http://www.163.com/info2.html';
		nIframe.onload = function(){
			// 修改 src 到同源域名下(空白页)
			this.src = 'about:blank';
			this.onload = function() {
				// 取得跨域访问资源,移除该 iframe
				var data = JSON.parse(this.contentWindow.name);
				document.body.removeChild(this);
				// 接下来就可以处理得到的资源了
				...
			}
		}
		document.body.appendChild(nIframe);
	})(window);
</script>

**我们只是使用了一个 <iframe> 作为代理获取到跨域资源,但是 <iframe> 之间也是不允许跨域访问的,所以我们再次把它的 src 修改为同源页面或者空白页就可以获取到 window.name 的属性了,也就是我们需要的资源。**同样地,我们也可以在最后移除创建的 iframe 元素。

资源页面代码
<script>
	window.name = '["Name","Sex","Age"]';
</script>

由于资源页面仅仅是为了传递数据,我们通常在动态创建 iframe 时设置 CSS 样式为 display:none,避免它影响客户端页面的布局。

document.domain

**即便是同一个页面的 <iframe> 也是有跨域限制的,若多个 <iframe> 载入的页面恰好是跨子域的话(主域名相同),我们可以将它们各自的 document.domain 设置为它们共有的主域名即可实现跨域访问。**下面举个例子,简单的说明一下:

// iframe1 : www.163.com
<script>
	document.domain = "163.com";
</script>
// iframe2 : study.163.com
<script>
	document.domain = "163.com";
</script>

这样设置好之后,我们则可以在全局范围内完成两个 iframe 跨子域的数据访问。

同理,我们依然可以动态创建一个 iframe 去完成跨子域的数据访问,具体实现我们可以参考上面共享 window.name 时动态创建 iframe 的方法。需要注意的是,资源页面的 document.domain 属性要提前设置好,否则在客户端页面是无法跨域去修改资源页面的属性的。

HTML5 postMessage API

在 HTML5 中,实现了一个安全便捷的跨域消息传递方案,也就是 postMessage() 方法,它有两个参数:第一个参数为发送的数据,绑定到 event 事件对象的 data 属性上;第二个参数为数据接受者限制域。在接受者页面还需要一个 message 事件供我们监听是否有数据发送过来配合使用。

客户端代码
<script>
	// 注册 message 事件准备接受数据
	window.onmessage = function(e){
		// 可以先判断发送源再处理,保证安全
		// if e.origin == "http://study.163.com"
		// 获取跨域访问的数据
		var data = JSON.parse(e.data);
		// 处理数据
		...
		// 销毁该事件
		this.onmessage = null;
		// 移除该 iframe
		document.body.removeChild(nIframe);
	}

	var nIframe = document.createElement('iframe');

	nIframe.style.cssText = "display: none";
	nIframe.src = "http://domain1.com:8081/info2.html";

	document.body.appendChild(nIframe);
</script>

在进行数据接收和处理之前,我们可以使用 event.origin 来判断发送源是否已知,保证页面安全。

资源页面代码
<script>
	window.top.postMessage('["Name","Sex","Age"]', 'http://www.163.com');
</script>

第二个参数规定了数据接受者的域限制,这个也是为了保证敏感数据不会发送给未知页面,确保数据安全。

结语

事实上,跨域访问是个很常用的需求,而许多解决方法也都异曲同工,也不只有这些方法才能实现跨域访问,采用什么方法都是按实际需求来选择的。而我们使用跨域访问技术,是违背了浏览器默认行为的,所以更应该确保安全性。

相关

DOM-元素节点属性

元素节点上具有很多属性,这些属性我们通常可以很方便的获取,并进行简单的操作。

了解更多

Linux-Vim 编辑器

在 Linux 这样的命令行操作系统中,必须有一款功能强大的编辑器支持我们快速完成文本编辑,这就是 Vi 编辑器;通过对其加强和升级,Vim 编辑器比前者更为强大,拥有更多的功能和颜色高亮的特性,是程序员在 Linux 下编码的利器。

了解更多

如何更好的维护开源项目

一直以来,开源精神被开发者所推崇,开源项目为开发者提供了不用付出除时间以外任何成本就可以学习前沿技术的最佳途径,另一方面,我们应该思考开源为何会成功,在全球开发者参与协作的情况下代码仓库为何能保持整洁、不出现大规模冲突而奔溃,上下游依赖如何管理,这背后有既定的规范进行强约束,也有一系列社区工具来完成复杂而有价值的工作。所以,从参与或者维护开源项目的角度来看,这些社区公认的最佳实践值得我们了解,学习这些东西也能在一定程度上提高我们管理项目的能力。

了解更多