- 浏览: 166956 次
- 性别:
- 来自: 南京
文章分类
- 全部博客 (133)
- 数据库 (17)
- Java基础 (18)
- Web (18)
- 工具应用 (4)
- 黑技术 (1)
- CRM (1)
- XMPP (1)
- openfire (7)
- 软件流程 (1)
- 高性能篇 (10)
- 网络通讯 (5)
- Http (1)
- 负载均衡 (4)
- linux (2)
- hadoop (3)
- 分布式 (6)
- SOA (2)
- 构建 (2)
- ant lvy (1)
- 同步异步IO/NIO (3)
- 事务相关 (7)
- mysql (6)
- 照相 (1)
- android (1)
- 高并发 (2)
- 搜索 (0)
- JVM (1)
- Spark (1)
- 架构师 (3)
- docker (3)
- 大数据 (1)
最新评论
-
yjsxxgm:
yjsxxgm 写道yjsxxgm 写道
揭秘淘宝286亿海量图片存储与处理架构 -
yjsxxgm:
yjsxxgm 写道
揭秘淘宝286亿海量图片存储与处理架构 -
yjsxxgm:
yjsxxgm 写道
揭秘淘宝286亿海量图片存储与处理架构 -
yjsxxgm:
揭秘淘宝286亿海量图片存储与处理架构 -
raodun:
哥们,nginx做websphere的会话保持何如写?
nginx的会话保持
原帖地址:http://itgeeker.com/mathml/readpaper?pid=53
JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中,有一个很重要的安全性限制,被称为“Same- Origin Policy”(同源策略)。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制,即JavaScript只能访问与包含它的文档 在同一域下的内容。
JavaScript这个安全策略在进行多iframe或多窗口编程、以及Ajax编程时显得尤为重要。根据这个策略,在baidu.com下的页 面中包含的JavaScript代码,不能访问在google.com域名下的页面内容;甚至不同的子域名之间的页面也不能通过JavaScript代码 互相访问。对于Ajax的影响在于,通过XMLHttpRequest实现的Ajax请求,不能向不同的域提交请求,例如,在 abc.example.com下的页面,不能向def.example.com提交Ajax请求,等等。
然而,当进行一些比较深入的前端编程的时候,不可避免地需要进行跨域操作,这时候“同源策略”就显得过于苛刻。本文就这个问题,概括了跨域所需要的一些技术。
下面我们分两种情况讨论跨域技术:首先讨论不同子域的跨域技术,然后讨论完全不同域的跨域技术。
(一)不同子域的跨域技术。
我们分两个问题来分别讨论:第一个问题是如何跨不同子域进行JavaScript调用;第二个问题是如何向不同子域提交Ajax请求。
先来解决第一个问题,假设example.com域下有两个不同子域:abc.example.com和def.example.com。现在假设在def.example.com下面有一个页面,里面定义了一个JavaScript函数:
我们想在abc.example.com下的某个页面里调用上面的函数。再假设我们要讨论的abc.example.com下面的这个页面是以iframe形式嵌入在def.example.com下面那个页面里的,这样我们可能试图在iframe里做如下调用:
window.top.funcInDef();
好,我们注意到,这个调用是被前面讲到的“同源策略”所禁止的,JavaScript引擎会直接抛出一个异常。
为了实现上述调用,我们可以通过修改两个页面的domain属性的方法做到。例如,我们可以将上面在abc.example.com和def.example.com下的两个页面的顶端都加上如下的JavaScript代码片段:
这样,两个页面就变为同域了,前面的调用也可以正常执行了。
这里需要注意的一点是,一个页面的document.domain属性只能设置成一个更顶级的域名(除了一级域名),但不能设置成比当前域名更深层 的子域名。例如,abc.example.com的页面只能将它的domain设置成example.com,不能设置成 sub.abc.example.com,当然也不能设置成一级域名com。
上面的例子讨论的是两个页面属于iframe嵌套关系的情况,当两个页面是打开与被打开的关系时,原理也完全一样。
下面我们来解决第二个问题:如何向不同子域提交Ajax请求。
通常情况下,我们会用与下面类似的代码来创建一个XMLHttpRequest对象:
- factories = [
- function () { return new XMLHttpRequest(); },
- function () { return new ActiveXObject( "Msxml2.XMLHTTP" ); },
- function () { return new ActiveXObject( "Microsoft.XMLHTTP" ); }
- ];
- function newRequest() {
- for ( var i = 0; i < factories.length; i++) {
- try {
- var factory = factories[i];
- return factory();
- } catch (e) {}
- }
- return null ;
- }
上面的代码中引用ActiveXObject,是为了兼容IE6系列浏览器。每次我们调用newRequest函数,就获得了一个刚刚创建的 Ajax对象,然后用这个Ajax对象来发送HTTP请求。例如,下面的代码向abc.example.com发送了一个GET请求:
- var request = newRequest();
- request.open("GET" , "http://abc.example.com" );
- request.send(null );
假设上面的代码包含在一个abc.example.com域名下的页面里,则这个GET请求可以正常发送成功,没有任何问题。然而,如果现在要向def.example.com发送请求,则出现跨域问题,JavaScript引擎抛出异常。
解决的办法是,在def.example.com域下放置一个跨域文件,假设叫crossdomain.html;然后将前面的 newRequest函数的定义移到这个跨域文件中;最后像之前修改document.domain值的做法一样,在crossdomain.html文 件和abc.example.com域下调用Ajax的页面顶端,都加上:
为了使用跨域文件,我们在abc.example.com域下调用Ajax的页面中嵌入一个隐藏的指向跨域文件的iframe,例如:
- < iframe name = "xd_iframe" style = "display:none" src = "http://def.example.com/crossdomain.html" >
- </ iframe >
这时abc.example.com域下的页面和跨域文件crossdomain.html都在同一个域(example.com)下,我们可以在abc.example.com域下的页面中去调用crossdomain.html中的newRequest函数:
这样获得的request对象,就可以向http://def.example.com发送HTTP请求了。
(二)完全不同域的跨域技术。
如果顶级域名都不相同,例如example1.com和example2.com之间想通过JavaScript在前端通信,则所需要的技术更复杂些。
在讲解不同域的跨域技术之前,我们首先明确一点,下面要讲的技术也同样适用于前面跨不同子域的情况,因为跨不同子域只是跨域问题的一个特例。当然,在恰当的情况下使用恰当的技术,能够保证更优的效率和更高的稳定性。
简言之,根据不同的跨域需求,跨域技术可以归为下面几类:
- JSONP跨域GET请求
- 通过iframe实现跨域
- flash跨域HTTP请求
- window.postMessage
下面详细介绍各种技术。
1. JSONP。
利用在页面中创建<script>节点的方法向不同域提交HTTP请求的方法称为JSONP,这项技术可以解决跨域提交Ajax请求的问题。JSONP的工作原理如下所述:
假设在http://example1.com/index.php这个页面中向http://example2.com/getinfo.php 提交GET请求,我们可以将下面的JavaScript代码放在http://example1.com/index.php这个页面中来实现:
- var eleScript= document.createElement( "script" );
- eleScript.type = "text/javascript" ;
- eleScript.src = "http://example2.com/getinfo.php" ;
- document.getElementsByTagName("HEAD" )[0].appendChild(eleScript);
当GET请求从http://example2.com/getinfo.php返回时,可以返回一段JavaScript代码,这段代码会自动执行,可以用来负责调用http://example1.com/index.php页面中的一个callback函数。
JSONP的优点是:它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;它的兼容性更好,在更加古老的浏览器中都 可以运行,不需要XMLHttpRequest或ActiveX的支持;并且在请求完毕后可以通过调用callback的方式回传结果。
JSONP的缺点则是:它只支持GET请求而不支持POST等其它类型的HTTP请求;它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。
2. 通过iframe实现跨域。
iframe跨域的方式,功能强于JSONP,它不仅能用来跨域完成HTTP请求,还能在前端跨域实现JavaScript调用。因此,完全不同域的跨域问题,通常采用iframe的方式来解决。
与JSONP技术通过创建<script>节点向不同的域提交GET请求的工作方式类似,我们也可以通过在 http://example1.com/index.php页面中创建指向http://example2.com/getinfo.php的 iframe节点跨域提交GET请求。然而,请求返回的结果无法回调http://example1.com/index.php页面中的 callback函数,因为受到“同源策略”的影响。
为了解决这个问题,我们需要在example1.com下放置一个跨域文件,比如路径是http://example1.com/crossdomain.html。
当http://example2.com/getinfo.php这个请求返回结果的时候,它大体上有两个选择。
第一个选择是,它可以在iframe中做一个302跳转,跳转到跨域文件http://example1.com /crossdomain.html,同时将返回结果经过URL编码之后作为参数缀在跨域文件URL后面,例如http://example1.com /crossdomain.html?result=<URL-Encoding-Content>。
另一个选择是,它可以在返回的页面中再嵌入一个iframe,指向跨域文件,同时也是将返回结果经过URL编码之后作为参数缀在跨域文件URL后面。
在跨域文件中,包含一段JavaScript代码,这段代码完成的功能,是从URL中提取结果参数,经过一定处理后调用原来的 http://example1.com/index.php页面中的一个预先约定好的callback函数,同时将结果参数传给这个函数。http: //example1.com/index.php页面和跨域文件是在同一个域下的,因此这个函数调用可以通过。跨域文件所在iframe和原来的 http://example1.com/index.php页面的关系,在前述第一种选择下,后者是前者的父窗口,在第二种选择下,后者是前者的父窗口 的父窗口。
根据前面的叙述,有了跨域文件之后,我们就可以实现通过iframe方式在不同域之间进行JavaScript调用。这个调用过程可以完全跟 HTTP请求无关,例如有些站点可以支持动态地调整在页面中嵌入的第三方iframe的高度,这其实是通过在第三方iframe里面检测自己页面的高度变 化,然后通过跨域方式的函数调用将这个变化告知父窗口来完成的。
既然利用iframe可以实现跨域JavaScript调用,那么跨域提交POST请求等其它类型的HTTP请求就不是难事。例如我们可以跨域调用 目标域的JavaScript代码在目标域下提交Ajax请求(GET/POST/etc.),然后将返回的结果再跨域传原来的域。
使用iframe跨域,优点是功能强大,支持各种浏览器,几乎可以完成任何跨域想做的事情;缺点是实现复杂,要处理很多浏览器兼容问题,并且传输的数据不宜过大,过大了可能会超过浏览器对URL长度的限制,要考虑对数据进行分段传输等。
3. 利用flash实现跨域HTTP请求
据称,flash在浏览器中的普及率高达90%以上。
flash代码和JavaScript代码之间可以互相调用,并且flash的“安全沙箱”机制与JavaScript的安全机制并不尽相同,因此,我们可以利用flash来实现跨域提交HTTP请求(支持GET/POST等)。
例如,我们用浏览器访问http://example1.com/index.php这个页面,在这个页面中引用了http: //example2.com/flash.swf这个flash文件,然后在flash代码中向http://example3.com /webservice.php发送HTTP请求。
这个请求能否被成功发送,取决于在example3.com的根路径下是否放置了一个crossdomain.xml以及这个 crossdomain.xml的配置如何。flash的“安全沙箱”会保证:仅当example3.com服务器在根路径下确实放置了 crossdomain.xml文件并且在这个文件中配置了允许接受来自example2.com的flash的请求时,这个请求才能真正成功。下面是一 个crossdomain.xml文件内容的例子:
- <? xml version = "1.0" ?>
- < cross-domain-policy >
- < allow-access-from domain = "example2.com" />
- </ cross-domain-policy >
4. window.postMessage
window.postMessage是HTML标准的下一个版本HTML5 支持的一个新特性。受当前互联网技术突飞猛进的影响,浏览器跨域通信的需求越来越强烈,HTML标准终于把跨域通信考虑进去了。但目前HTML5仍然只是一个draft。
window.postMessage是一个安全的实现直接跨域通信的方法。但是目前并不是所有浏览器都能支持,只有Firefox 3、Safari 4和IE8可以支持这个调用。
使用它向其它窗口发送消息的调用方式大概如下:
在接收的窗口,需要设置一个事件处理函数来接收发过来的消息:
- window.addEventListener( "message" , receiveMessage, false );
- function receiveMessage(event){
- if (event.origin!== "http://example.org:8080" ) return ;}
消息包含三个属性:data、origin(携带发送窗口所在域的真实信息)和source(代表发送窗口的handle)。
安全性考虑:使用window.postMessage,必需要使用消息的origin和source属性来验证发送者的身份,否则会造成XSS漏洞。
window.postMessage在功能上同iframe实现的跨域功能同样强大,并且使用简单,效率更高,但缺点是它目前在浏览器兼容方面有待提高。
总结完所有的跨域方式之后,我们要时刻铭记,虽然跨域技术能给你带来更多的功能,催生出更灵活和更加平台化的产品,但是功能的放开也总是意味着安全的风险。在实现跨域技术的每个步骤和细节,都要时刻在头脑中考虑到对安全带来的影响,避免成为XSS攻击的漏洞。
发表评论
-
数据埋点-浏览器User-Agent大全
2017-09-21 14:02 2689<转自http://www.360doc.com ... -
埋点开发-代码实战
2017-09-21 13:54 0nginx+lua Agent 访问时间 web serve ... -
理解Java对象序列化
2017-03-05 10:54 498关于Java序列化的文章 ... -
centos 6.5下rabbitmq3.15以上安装 新测安装记录
2016-08-31 14:55 760在安装rabbitmq之前需要先安装python和erl ... -
两个Spring管理的MDP程序
2012-03-06 13:26 0l<转自http://www.blogjava.net/ ... -
http协议学习系列
2012-03-06 11:52 997<转自http://blog.csdn.net/guet ... -
远程调用原理与对比RMI、MINA、ESB、Burlap、Hessian、SOAP、EJB和JMS
2012-03-05 15:35 3336<转自http://blog.sina.com. ... -
slf4j简介
2012-03-05 15:18 1312<转自 http://callan.iteye.com/ ... -
Hadoop学习笔记二 安装部署
2011-12-21 17:34 853<转自http://www.cnblogs.co ... -
浅谈HTTP中Get与Post的区别
2011-12-13 13:59 730<转自http://www.cnblogs.com/hy ... -
Fastjson内幕
2011-11-24 00:24 3552<转自http://code.alibabatech.c ... -
AMF3,JSON,protobuffer
2011-11-24 00:06 3311现在流行的WEBGAME中,大都采用FLASH做前段,C++, ... -
PHPFOG提供100M免费PHP空间
2011-11-13 00:07 1412<转自http://www. ... -
robots
2011-10-28 10:25 892<转自http://baike.baidu.com/vi ... -
如何得到对方IP?
2011-06-20 11:08 1097转自http://hi.baidu.com/feile456/ ... -
关于struts2 和fckEditor结合中标签datetimepicker不能用的问题
2011-04-16 22:03 842转自 http://hi.baidu.com/quandang ... -
消息队列(Message Queue)简介及其使用
2011-04-14 22:54 877原连接http://tech.163.com/06/0317/ ... -
flex builder4 注册码
2010-10-20 14:52 767确定好使 1424-4012-2754-1802-2619-8 ... -
web.xml 详解
2010-04-13 10:52 663From[http://blog.csdn.net/Imain ...
相关推荐
JavaScript跨域对象类是一种在Web开发中解决同源策略限制的技术。同源策略是浏览器为了保护用户数据安全而设定的一项安全政策,它规定了只有来自相同域名的HTTP请求才能互相访问资源,不同源的请求会被阻止。然而,...
跨域问题通常在 JavaScript 中是个常见的安全限制,浏览器不允许脚本从一个源(域名、协议或端口)请求另一个源的资源,以防止恶意网站通过脚本读取其他网站的数据。在 PDF.js 原版中,如果 PDF 文件存储在与网页...
标题《JS跨域访问解决方案总结.pdf》指明文档的核心内容是关于JavaScript跨域访问问题的解决方法。跨域访问问题是指由于浏览器的同源策略限制,网页中JavaScript代码出于安全原因不能访问另一个源(域名、协议或端口...
JavaScript跨域是Web开发中一个常见的挑战,由于浏览器的同源策略限制,JavaScript无法直接访问不同源(协议、域名或端口不一致)的资源。本文将深入探讨JS跨域的解决方案,帮助开发者理解并解决这个问题。 首先,...
JavaScript跨域问题,是Web开发中常见的一个挑战,由于浏览器的同源策略限制,JavaScript无法直接访问不同源的资源,这在实现某些功能时会带来不便。本文将深入探讨JavaScript跨域问题的原因、影响以及多种解决方案...
JavaScript(JS)与Windows Communication Foundation(WCF)服务之间的跨域调用是Web开发中常见的需求,尤其是在构建分布式系统和前后端分离的应用时。本文将详细介绍如何实现JS跨域调用WCF服务,并通过一个控制台...
总的来说,JavaScript跨域的实现方式多样,可以根据具体需求和环境选择合适的策略。JSONP适用于简单的数据请求,CORS适合复杂的跨域交互,代理服务器适用于服务器可控制的场景,而`document.domain`和`postMessage`...
在JavaScript(JS)中,由于同源策略的限制,我们不能直接从网页中访问其他不同源(协议、域名或端口)的资源。然而,为了实现特定功能,如跨域调用Window服务来获取本机硬件信息,我们需要采用一些特殊的技术来规避...
在GIS(地理信息系统)开发中,ArcGIS JavaScript API(arcgis js)是Esri公司提供的一款强大的Web GIS开发工具,用于构建地图应用。然而,在实际开发过程中,由于浏览器的同源策略限制,当我们在不同域名下尝试访问...
JavaScript跨域是Web开发中的一个重要概念,涉及到浏览器的同源策略和如何允许不同源之间进行数据交换。在本文中,我们将深入探讨JavaScript跨域的基本原理、常见方法以及相关的代码实现。 同源策略(Same-Origin ...
实现javascript跨域,可以在不同域名双向通信,内含demo,支持IE6+、火狐,谷歌等浏览器 配套文章:http://blog.csdn.net/mycwq/article/details/16344171
JS 跨域访问解决方案总结 JS 跨域访问解决方案总结是指在不同域名站点之间进行资源访问的解决方案。默认情况下,脚本访问文档属性等数据采用的是同源策略(Same origin policy),即如果两个页面的协议、域名和端口...
Vue.js 是一个流行的轻量级JavaScript框架,用于构建用户界面。它以其简洁的API、易于上手的特性和强大的功能而受到广泛欢迎。Vue的核心特性包括声明式渲染、组件化、虚拟DOM、指令系统等,这些使得开发者能高效地...
JavaScript跨域和Ajax跨域是Web开发中常见的问题,尤其在进行前后端分离或API调用时,由于浏览器的同源策略限制,不同域名、协议或端口的资源请求会被阻止,这就是所谓的“跨域”。本文将深入探讨JavaScript和Ajax...
在Web开发中,JavaScript(JS)的同源策略限制了不同源之间进行交互,包括从一个页面中的脚本访问另一个不同源的IFrame内容。"解决JS跨域访问IFrame的解决方案"这一主题关注的就是如何克服这个限制,使得在JSP页面中...
本文将探讨如何利用JavaScript的跨域原理来解决这个问题。 首先,我们要理解什么是跨域。跨域是指一个源(Origin,由协议、域名和端口组成)试图访问另一个源的资源时,如果这两个源不相同,就会被浏览器视为跨域,...
【标题】"ziilaa_uc(JS跨域操作工具:uc v1.0)" 提供的是一款JavaScript跨域操作工具,名为uc,版本为1.0。在Web开发中,由于浏览器的安全策略,不同源的JavaScript代码通常无法直接访问彼此的数据,这被称为...
JavaScript跨域是Web开发中一个常见的挑战,由于浏览器的同源策略限制,JavaScript无法直接访问不同源(协议、域名或端口不一致)的资源,这在开发过程中可能会造成诸多不便。本文将深入探讨JavaScript跨域问题及其...