`
快乐_虫
  • 浏览: 7530 次
  • 性别: Icon_minigender_2
  • 来自: 北京
社区版块
存档分类
最新评论

javascript跨域问题

阅读更多
来源:http://www.jb51.net/article/31153.htm
javascript跨域有两种情况: 
1、基于同一父域的子域之间,如:a.c.com和b.c.com 
2、基于不同的父域之间,如:www.a.com和www.b.com 
3、端口的不同,如:www.a.com:8080和www.a.com:8088 
4、协议不同,如:http://www.a.com和https://www.a.com 

对于情况3和4,需要通过后台proxy来解决,具体方式如下: 
a、在发起方的域下创建proxy程序 
b、发起方的js调用本域下的proxy程序 
c、proxy将请求发送给接收方并获取相应数据 
d、proxy将获得的数据返回给发起方的js 
代码和ajax调用一致,其实这种方式就是通过ajax进行调用的
发起方代码如下:
<form id="form1" runat="server"> 
<div> 
<input type="text" id="txtSrc" value="http://www.gzsums.edu.cn/webclass/html/html_design.html" style="width: 378px" /> 
<input id="btnProxy" type="button" value="通过Proxy获取数据" onclick="GetDataFromProxy();" /><br /> 
<br /> 
<br /> 
</div> 
<div id="divData"></div> 
</form> 
</body> 
<script language="javascript" type="text/javascript"> 
function GetDataFromProxy() { 
var src = document.getElementById('txtSrc').value; 
var request = null; 
if (window.XMLHttpRequest) { 
request = new XMLHttpRequest(); 
} 
else if (window.ActiveXObject) { 
request = new ActiveXObject("Microsoft.XMLHTTP"); 
} 
request.onreadystatechange = function() { 
var ready = request.readyState; 
var data = null; 
{ 
if (ready == 4) { 
data = request.responseText; 
document.getElementById('divData').innerHTML = data; 
} 
else { 
document.getElementById('divData').text = "Loading"; 
} 
} 
} 
var url = "Proxy.ashx?src=" + escape(src); 
request.open("get",url,false); 
request.send(null); 
} 
</script> 
 发起方Proxy代码如下: 
using System.Data; 
using System.Linq; 
using System.Web; 
using System.Web.Services; 
using System.Web.Services.Protocols; 
using System.Xml.Linq; 
using System.IO; 
using System.Net; 
using System.Text; 
namespace WebApplication1 
{ 
/// <summary> 
/// Summary description for $codebehindclassname$ 
/// </summary> 
[WebService(Namespace = "http://tempuri.org/")] 
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)] 
public class Proxy : IHttpHandler 
{ 
const int BUFFER_SIZE = 8 * 1024; 
public void ProcessRequest(HttpContext context) 
{ 
context.Response.ContentType = "text/plain"; 
string src = context.Request["src"]; 
WebRequest wr = WebRequest.Create(src); 
WebResponse wres = wr.GetResponse(); 
Encoding resEncoding = System.Text.Encoding.GetEncoding("gb2312"); 
StreamReader sr = new StreamReader(wres.GetResponseStream(), resEncoding); 
string html = sr.ReadToEnd(); 
sr.Close(); 
wres.Close(); 
context.Response.Write("<br/><br/><br/><br/>"); 
context.Response.Write(html); 
} 
public bool IsReusable 
{ 
get 
{ 
return false; 
} 
} 
} 
} 
而情况1和2除了通过后台proxy这种方式外,还可以有7种办法来解决: 
1、document.domain+iframe(只能解决情况1): 
a、在发起方页面和接收方页面设置document.domain,并将值设为父域的主域名(window.location.hostname) 
b、在发起方页面创建一个隐藏的iframe,iframe的源是接收方页面 
c、根据浏览器的不同,通过iframe.contentDocument || iframe.contentWindow.document来获得接收方页面的内容 
d、通过获得的接收方页面的内容来与接收方进行交互 
这种方法有个缺点,就是当一个域被攻击时,另一个域会有安全漏洞出现。 
发起方代码:
<body> 
<div> 
<input type="text" id="txtSrc" value="http://b.a.com/DomainTest2.htm" style="width: 378px" /> 
<input id="btnDomain" type="button" value="通过Domain获取数据" onclick="GetDataFromDomain();" /><br /> 
<br /> 
<br /> 
</div> 
<div id="divData"></div> 
</body> 
<script language="javascript" type="text/javascript"> 
document.domain = 'a.com'; 
var src = document.getElementById('txtSrc').value; 
var ifr = document.createElement('iframe'); 
ifr.src = src; 
ifr.style.display = 'none'; 
document.body.appendChild(ifr); 
function GetDataFromDomain() { 
var doc = ifr.contentDocument || ifr.contentWindow.document; 
alert(doc.getElementById("data").value); 
} 
</script> 
 接收方代码:
<body> 
<input type="hidden" id="data" value="Cross Domain" style="width: 378px" /> 
</body> 
<script language="javascript" type="text/javascript"> 
document.domain = 'a.com'; 
</script> 
 
2、 动态创建script(也就是jsonp)
a、在发起方页面动态加载一个script,script的URL指向接收方的一个处理地址(后台),该地址返回的javascript方法会被执行,另外URL中可以传入一些参数,该方法只支持GET方式提交参数。 

b、加载的script可以在调用跨域js方法后再做一些自己的处理

3、location.hash+iframe: 
a、发起方创建一个隐藏的iframe,iframe的源指向接收方的页面,并通过接收方页面的hash值来传送数据 
b、发起方创建一个定时器,定时检查自己的location.hash并作相应的处理 
c、接收方创建一个隐藏的iframe,iframe的源指向发起方所在域的一个代理页面,并将接收方根据发起方传入的数据而处理后的数据通过代理页面的hash值来传送 
d、接收方创建一个定时器,定时检查自己的location.hash并作相应的处理 
e、代理页面创建一个定时器,定时检查自己的location.hash并同步更新发起方页面的hash值 www.a.com/a.html#aaa,其中#aaa就是location.hash值 
4、window.name:
a、发起方页面创建一个隐藏的iframe,并且源指向接收方页面 
b、接收方在自己页面通过script将需要传送的数据放入window.name里 
c、发起方在iframe的onload方法里将iframe的源改为和自己在同一个域下的代理页面(因为只能是同一个域下才能访问window.name的值) 
d、获取window.name的值(虽然iframe的源改变了,但是window.name的值不会变) 
window.name的值差不多可以有2MB大小
5、HTML5的postMessage 

a、receiverWindow.postMessage(msg, targetOrigin),receiverWindow就是对接收消息的window的引用,可以是iframe的contentWindow/window.open的返回值/window.frames中的一个;msg就是要发送的消息,string类型;targetOrigin用于限制receiverWindow的URI,包括主域名和端口,使用“*”表示无限制,但是为了安全起见还是需要设置下,以防把消息发送给恶意的网站,如果targetOrigin的URI和receiverWindow的不符,则放弃发送消息。 
b、接收方通过message事件来获得消息,并且通过event.origin的属性来验证发送方并通过event.data来获得传送的消息内容,event.source来获得发送方的window对象

6、window.opener
     适用于IE6、7,也就是operner hack方法,不过貌似现在已经不管用了,只要打过微软的安全补丁.kb2497640就不能用了 
  a、发起方页面创建一个隐藏的iframe,并且源指向接收方页面 
     b、发起方页面通过iframe.contentWindow.opener = {a: function(params){...}, b: function(params){...} ...}来定义可被接收方调用的方法 
    c、接收方页面通过window.opener.a/window.opener.b来调用发起方定义的方法 
    d、接收方页面通过parent.opener = {c: function(params){...}, d: function(params){...} ...}来定义可被发起方调用的方法 
    e、发起方页面通过opener.c/opener.d来调用接收方定义的方法 
    其实原理就是重置opener对象
7、window.navigator
   适用于IE6、7,貌似现在还能用,还没被补丁掉 
   a、发起方页面创建一个隐藏的iframe,并且源指向接收方页面 
   b、发起方页面通过window.navigator.a = function(params){...}; window.navigator.b = function(params){...}; 来定义被接   收方调用的方法 
   c、接收方页面通过window.navigator.a(params); window.navigator.b(params);来调用发起方定义的方法 
   d、接收方页面通过window.navigator.c = function(params){...}; window.navigator.d = function(params){...}; 来定义被发起方调用的方法 
   e、发起方页面通过window.navigator.c(params); window.navigator.d(params);来调用接收方定义的方法  
分享到:
评论

相关推荐

    javascript插件 解决双向跨域问题

    jcrossdomain是一个专门用于解决JavaScript跨域问题的工具,尤其适用于需要双向通信的场景。它通过创建隐藏的IFrame和利用window.postMessage API来实现跨域通信。window.postMessage是HTML5引入的一个API,允许来自...

    javascript 跨域问题以及解决办法

    javascript 跨域问题以及解决办法 什么是跨域问题? 跨域这个问题是由于浏览器的同源策略引起的,请求的URL地址,必须与浏览器的URL是相同协议、相同域名、相同端口的,否则是不允许访问的 浏览器URL 要访问的...

    JavaScript跨域问题全攻略:突破浏览器同源限制

    JavaScript(简称“JS”)是一种高级的、解释型的编程语言。它是一种轻量级,通常用于网页上,实现客户端的脚本编程。虽然JavaScript和Java在名称上相似,但它们是两种完全不同的语言,具有不同的编程范式、语法和...

    深入分析Javascript跨域问题

    JavaScript中的跨域问题源于浏览器实施的同源...总的来说,解决JavaScript跨域问题需要根据具体需求选择合适的方法,既要考虑安全性,也要考虑兼容性和性能。在实际开发中,通常会结合使用多种策略,以达到最佳效果。

    js跨域问题解决方案.

    JavaScript跨域问题,是Web开发中常见的一个挑战,由于浏览器的同源策略限制,JavaScript无法直接访问不同源的资源,这在实现某些功能时会带来不便。本文将深入探讨JavaScript跨域问题的原因、影响以及多种解决方案...

    js跨域问题小结

    JavaScript跨域问题是一个在开发Web应用时经常遇到的技术挑战,主要涉及到浏览器的同源策略(Same-Origin Policy)。同源策略是浏览器为了保护用户信息安全而设置的一种安全机制,它限制了来自不同源(协议+域名+...

    js 跨域解决方案

    本文将深入探讨JavaScript跨域问题及其解决方案,以帮助开发者理解和应对这一问题。 首先,了解同源策略是解决问题的关键。同源策略是浏览器为了保障用户数据安全而实施的一种机制,它禁止了一个源的文档或脚本获取...

    javascript跨域原因以及解决方案分享

    JavaScript跨域问题主要源于浏览器的同源策略,这是一种安全机制,限制了JavaScript脚本只能访问与当前页面同协议、同域名、同端口的资源。当尝试从一个域名下的网页去请求另一个域名的数据时,例如通过Ajax进行...

    Javascript跨域和Ajax跨域解决方案

    JavaScript跨域和Ajax跨域是Web开发中常见的问题,尤其在进行前后端分离或API调用时,由于浏览器的同源策略限制,不同域名、协议或端口的资源请求会被阻止,这就是所谓的“跨域”。本文将深入探讨JavaScript和Ajax...

    arcgis api for javascript跨域处理方案

    在使用ArcGIS API for JavaScript开发Web应用程序时,经常会遇到跨域问题。这是因为浏览器的安全策略限制了JavaScript从一个源(域名、协议或端口)请求另一个源的数据。ArcGIS API for JavaScript是一个强大的工具...

    javascript跨域方案总结

    JavaScript跨域方案是Web开发中的一个重要主题,尤其是在构建现代Web应用程序时。由于浏览器的安全策略,JavaScript在不同域名之间默认不允许进行通信,这就是所谓的“同源策略”。然而,开发者经常需要在多个域之间...

    JavaScript 跨域通信方法

    2. **父子页面间通信**:当两个页面成父子关系时(例如父页面通过iframe加载子页面),且这两个页面的源不同时产生的跨域问题。 #### 四、解决方案分析 ##### 4.1 不同源的接口请求 - **JSONP**:JSONP是一种广泛...

    javaScript跨域通信

    JavaScript跨域通信是Web开发中的一个重要概念,它涉及到浏览器的安全策略和Ajax请求的限制。由于浏览器的同源策略,一个域名下的JavaScript无法直接访问或操作不同域名下的资源,这就需要我们采用特定的方法来实现...

    javascript跨域插件 实现双向跨域

    实现javascript跨域,可以在不同域名双向通信,内含demo,支持IE6+、火狐,谷歌等浏览器 配套文章:http://blog.csdn.net/mycwq/article/details/16344171

    js_跨域访问[参照].pdf

    JavaScript跨域问题主要源于浏览器的同源策略,这是一种安全机制,用于防止恶意脚本通过一个网站获取另一个网站的数据,从而保护用户信息安全。当一个网页尝试使用Ajax(Asynchronous JavaScript and XML,异步...

    Javascript跨域访问解决方案

    这种方式可以避免跨域问题,但增加了网络延迟。 5. WebSocket WebSocket协议支持跨域,可以建立持久化的双向通信连接。创建WebSocket对象时,URL可以是任意源,只要服务器支持WebSocket并允许跨域即可。 6. window...

    javascript跨域调试工具Javascript Debug Toolkit 1.0.2

    JavaScript跨域调试是Web开发中的一个关键环节,因为浏览器的安全策略限制了JavaScript在不同源之间的交互。"Javascript Debug Toolkit 1.0.2"是一款专为解决这一问题而设计的强大工具,它允许开发者在跨域环境中...

    关于JavaScript跨域问题及实时刷新解决方案

    当需要从不同的源(域名、协议、端口任一不同)获取数据时,就会遇到所谓的“跨域问题”。这是由浏览器的同源策略所引起的安全限制。该策略限制了不同域下的文档或脚本如何相互交互。 为了缓解跨域问题,出现了多种...

    完美解决iframe跨域问题

    3. **iframe跨域问题**:当iframe加载的页面与包含它的页面不在同一个域时,就会出现跨域问题,导致无法直接通过JavaScript进行通信,如获取iframe内的内容、设置iframe的属性等。 **二、iframe跨域的解决方案** 1...

Global site tag (gtag.js) - Google Analytics