同源访问与cookie

起因：

  组件采用很常见的无刷新上传文件 方式，但在某处应用一直抛出异常：permission denied 以及 domain 相关的错误，仔细排查原来是调用页面设置了 document.domain ，借此机会总结下。

同源策略：

  每个页面都包含两个概念：origin（源）以及 effective script origin 。

   origin:

有三个组成部分约束，协议scheme，host，port，形成三元组，两个不同源比较正是比较这三个部分。( host 间是完全比较，子域名间相互包含也认为不相同而不能互相访问)

   effective script origin:

默认和 origin 一样，但是可以经由 document.domain 设置 host 与 port 部分，并且一旦设置， port 部分会变成特殊值："manual override" ，这个值除了和"manual override"相同外不和其他任何值相同。但是要注意的是

1. domain 只能设宽泛，比如页面 xx.iteye.com 的domain可设置为 iteye.com ，但是不能互逆，并且设置只能越来越宽泛，一旦页面 y.xx.com 设置了 xx.com 那么这个页面就再也不能重新设置 domain 为 y.xx.com.

 

2. 对于国际化域名，domain 不能设置太宽泛，比如 xx.javaeye.co.us 的最多可设 javaeye.co.us，而不能是 co.us

 

3. 共享域名的情况要特别注意，最好不要设置domain，否则xx.com 可能会被 xx.com:8080 的页面访问，引发同源保护失效（设置了domain，port就变成"manual override"!）.

页面互访规则：

两页面能够互相访问正是比较两个 effective script origin 是否相同，相同的话则可以互相访问，比如 主页面嵌入了一个同一个域名下的子页面，那么如果主页面设置了 document.domain ，那么子页面也必须设置相同的值，否则两者就不能互相通信了，这也正是开头场景遇到的问题。

 

demo @ google code

解决：

对于开头的错误，原先可能 server 端只需返回：

 

{"url":"http://xx/y.jpg"}

 

我们只需访问 iframe.contentDocument.body.innerHTML 来访问浏览器 parse 好的内容，而如果主页面设置了 domain ：

 

document.domain='xx.com';

 

那么server 现在需要返回的 iframe 内容需要加入对应的设置相同 domain 脚本：

 

<html>
<head>
<script>
    document.domain="xx.com";    
</script>
</head>
<body>
{ "url":"http://xx.com/sns_album/i3/y.jpg"}
</body>
</html>

 

将脚本单独放在 head 中和 body 分开，则仍然可以取 body 内容，否则脚本会和 body 混合在一起。

延伸：

由于 XHR 也会受到同源策略的影响:

 

y.xx.com 页面不可以发送 xhr 请求给 xx.com ，但是如果在 y.xx.com 设置 domain=xx.com ，就可以发了 (当然仍然可以给 y.xx.com 发送接收 xhr)，但是无论怎么设都不可以往 z.xx.com 发送请求，因为 domain 只能设置当前页面 hostname 的后缀！

 

 

另一方面 XHR 作为数据传输技术，没法执行 domain 设置脚本，不过有人已经实现了通过设置 domain 的iframe作为中转层进行通信 ， KISSY io 也对此进行了支持。推荐比较简单的替代方案为：JSONP 。

 

Cookie

 

但是同源策略却和 cookie 完全没有关系， cookie 是自己独立的一套规则 (甚至和访问的 port 端口都没有关系):

0. 注意 cookie 总大小(4k)以及个数(20) 的所有浏览器支持的极端限制

1. 通过服务器 Set-Cookie 或客户端 document.cookie= 进行添加，如果添加后，

 1.1 当前页面的cookie（本host以及host后缀域）总大小 (name=value;串)大于 4096 byte 则添加无效。

 1.2 当前添加域的cookie个数超过上限，添加无效 

通过设置 expire 小于当前事件来控制 cookie 删除.如果不设置 expire，则该 cookie 为 session cookie，浏览器关闭后自动删除。

2. 访问一个页面前，首先列出当前 host 下以及当前 host 的后缀系列下设置的 cookie 列表

3. 对 2 的列表进行循环过滤

   3.1 path 是当前页面的 path 的前缀，进入 3.2 ，否则不发

   3.2 secure == true 并且 页面不是 https ，不发，否则进入 3.3

   3.3 按照 host 以及 path，越特殊的越靠前，(选取个数上限的cookie ? 不确定 ！)，以name=value;拼成字符串，发送往服务器，（根据 1.1 这个串不大于 4096 byte）

 

reference :

same origin w3 规范

document.domain @ MDC

Same_origin_policy_for_JavaScript @ MDC

Same-origin policy for file: URIs @ MDC

About Cross-Frame Scripting and Security @ MSDN

How to make XMLHttpRequest calls to another server in your domain @ ajaxian