前言
眾所周知瀏覽器的同源策略及跨域的方法在前端面試中也是出場率極高的問題,本文主要跟大家分享了關(guān)于前端面試時會遇到的同源和跨域問題,下面話不多說了,來一起看看詳細的介紹吧。
什么是同源策略
同源策略是用來限制從一個源加載的文檔或者腳本如何與來自另一個源的資源進行交互,是一種用于隔離潛在的惡意文件的關(guān)鍵的安全機制。
何謂同源
如果協(xié)議、域名和端口對于兩個頁面來說是相同的,則這兩個頁面就是同源的。比如:http://www.hyuhan.com/index.html 這個網(wǎng)站,協(xié)議是http,域名是www.hyuhan.com,端口是80(默認端口),它的同源情況如下:
同源策略是為了保護用戶信息的安全,受到同源策略限制的主要有以下幾種行為:
如何進行跨域訪問
怎么跨域進行AJAX請求
主要由三種方法可以繞過同源策略的限制,來進行跨域的AJAX請求。
JSONP
JSONP是客戶端與服務端跨域通信的常用的方法。利用可以跨域的<script&bt;元素,向服務器請求json數(shù)據(jù),服務端收到請求后,將數(shù)據(jù)放在一個回調(diào)函數(shù)中傳回來。實現(xiàn)如下:
window.onload = function() { var script = document.createElement('script'); script.src = "http://example.com/callback=test"; document.appendChild(script);}function test(res) { console.log(res);}src的callback參數(shù)是用來設置后端需要調(diào)用的回調(diào)函數(shù)的名字的,服務器返回的數(shù)據(jù)如下:
test({ "name": "小明", "age": 24 })這樣,前端就能跨域讀取后端的數(shù)據(jù)了。但是jsopn只能發(fā)生get請求,不能發(fā)送post請求。
WebSocket
WebSocket是一種基于TCP的新的網(wǎng)絡協(xié)議,它不實行同源策略,只要服務器支持,就可以進行跨域訪問。而且WebSocket并不限于以Ajax方式通信,因為Ajax技術(shù)需要客戶端發(fā)起請求,而WebSocket服務器和客戶端可以彼此相互推送信息。
CORS
CORS是Access-Control-Allow-Origin(跨域資源共享)的縮寫,它是一個W3C的標準。CORS需要瀏覽器和服務器同時支持,目前基本所有的瀏覽器都支持該功能。服務器端對于CORS的支持,主要就是通過設置Access-Control-Allow-Origin來進行的。如果瀏覽器檢測到相應的設置,就可以允許Ajax進行跨域的訪問。
document.domain
Cookie是服務器寫入瀏覽器的信息,安全起見,只有同源的網(wǎng)頁才能共享。但是,如果兩個網(wǎng)頁的一級域名相同,但是耳機域名不同的話,可以通過設置document.domain來共享Cookie。
比如,一個網(wǎng)頁域名是http://w1.example.com/a.html ,另一個網(wǎng)頁域名是http://w2.example.com/b.html ,只要給們設置相同的document.domain,這兩個網(wǎng)頁就可以共享Cookie。
postMessage API
postMessage()方法允許來自不同源的腳本采用異步方式進行有限的通信,可以實現(xiàn)跨文檔、多窗口、跨域消息傳遞。用postMessage()函數(shù)傳遞消息,目標頁面監(jiān)聽window的message事件接收消息。利用postMessage,我們可以跨域讀取LocalStorage和IndexDB還有DOM數(shù)據(jù)。
window.name
瀏覽器窗口有window.name的屬性,該屬性規(guī)定無論是否同源,只要在一個窗口里,前一個網(wǎng)頁設置了這個屬性,后一個網(wǎng)頁就可以讀取它。即在一個窗口(window)的生命周期內(nèi),窗口載入的所有的頁面都是共享一個window.name的,每個頁面對window.name都有讀寫的權(quán)限,window.name是持久存在一個窗口載入過的所有頁面中的。顯然,這是可以實現(xiàn)跨域訪問的。
總結(jié)
以上就是這篇文章的全部內(nèi)容了,希望本文的內(nèi)容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對武林網(wǎng)的支持。
新聞熱點
疑難解答
