最近或多或少经常看到跨域操作,自己也没有有个时间去专门研究透彻这一块,所以打算借此机会,好好研究一番,并为此写几篇博文,这也算巩固一下这方面的基础知识。
不过讲跨域之前就有必要先了解是什么导致了跨域才能清求,答案就是 浏览器的同源策略
那么何为 "源" 呢?
首先看看RFC6454里有定义URI源的算法定义。
源包括协议、域名、端口号。
标准浏览器下查看源的方式:location.origin
ie浏览器下不支持此种方式,但我们可以使用“ location.protocol查看协议、location.hostname查看域名、location.port查看端口号 ” 来查看源。
原文给出的例子:
例子
总结起来只有三个值一样,才属于同源,像图片中上面三个网址属于同源,下面的则不是。再给个具体的例子巩固下:
解决了什么是 源 下来就是什么是同源策略。
一样来看看这篇文章的定义.
In computing, the same-origin policy is an important concept in the web application security model. Under the policy, a web browser permits scripts contained in a first web page to access data in a second web page, but only if both web pages have the same origin. An origin is defined as a combination of URI scheme, host name, and port number. This policy prevents a malicious script on one page from obtaining access to sensitive data on another web page through that page's Document Object Model.
同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以lmc.com下的js脚本采用ajax读取szu.com里面的文件数据是会报错的。
• 不受同源策略限制的:
1、页面中的链接,重定向以及表单提交是不会受到同源策略限制的。
2、跨域资源的引入是可以的。但是js不能读写加载的内容。如嵌入到页面中的<script src="..."></script>,<img>,<link>,<iframe>等。
那么现实生活中,我们往往不能仅仅满足于同源之间资源共享,那么如何突破同源策略呢?
一、降域
对于主域相同而子域不同的例子,可以通过设置document.domain的办法来解决。具体的做法是可以在http://www.a.com/a.html和http://script.a.com/b.html两个文件中分别加上document.domain = ‘a.com’;然后通过a.html文件中创建一个iframe,去控制iframe的contentDocument,这样两个js文件之间就可以“交互”了。当然这种办法只能解决主域相同而二级域名不同的情况,如果你异想天开的把script.a.com的domian设为alibaba.com那显然是会报错地!代码如下:
www.a.com上的a.html
document.domain = 'a.com';
var ifr = document.createElement('iframe');
ifr.src = 'http://script.a.com/b.html';
ifr.style.display = 'none';
document.body.appendChild(ifr);
ifr.onload = function(){
var doc = ifr.contentDocument || ifr.contentWindow.document;
// 在这里操纵b.html
alert(doc.getElementsByTagName("h1")[0].childNodes[0].nodeValue);
};
script.a.com上的b.html document.domain = 'a.com';
问题:
1、安全性,当一个站点(b.a.com)被攻击后,另一个站点(c.a.com)会引起安全漏洞。
2、如果一个页面中引入多个iframe,要想能够操作所有iframe,必须都得设置相同domain。
网友评论