51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

前端百题斩之原来跨域也是可以进行分类的

作者: 执鸢者
开发 前端
跨域本质其实就是指两个地址不同源,不同源的反面不就是同源,同源指的是:如果两个URL的协议、域名和端口号都相同,则就是两个同源的URL。

[[409185]]

25.1 同源策略

25.1.1 同源

跨域本质其实就是指两个地址不同源,不同源的反面不就是同源,同源指的是:如果两个URL的协议、域名和端口号都相同,则就是两个同源的URL。

  1. // 非同源:协议不同 
  2. http://www.baidu.com 
  3. https://www.baidu.com 
  4.  
  5. // 同源:协议、域名、端口号都相同 
  6. http://www.baidu.com 
  7. http://www.baidu.com?query=1 

25.1.2 同源策略

同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的加载的脚本如何能与另一个源的资源进行交互。其主要是为了保护用户信息的安全,防止恶意的网站窃取数据,是浏览器在Web页面层面做的安全保护。

25.1.3 同源策略的表现

既然同源策略是浏览器在Web页面层面做的保护,那么该层面哪些位置需要进行保护呢?总结下来主要包含三个层面:DOM层面、数据层面、网络层面。

DOM层面

同源策略限制了来自不同源的JavaScript脚本对当前DOM对象读和写的操作。

数据层面

同源策略限制了不同源的站点读取当前站点的Cookie、IndexedDB、localStorage等数据。

网络层面

同源策略限制了通过XMHttpRequest等方式将站点的数据发送给不同源的站点。

25.2 跨域分类

同源策略保证了浏览器的安全,但是如果将这三个层面限制的死死的,则会让程序员的开发工作举步维艰,所以浏览器需要在最严格的同源策略限制下做一些让步,这些让步更多了是在安全性与便捷性的权衡。其实跨域的方式就可以认为是浏览器出让了一些安全性或在遵守浏览器同源策略前提下所采取的一种折中手段。

25.2.1 DOM层面和数据层面分类

根据同源策略,如果两个页面不同源,无法互相操作DOM、访问数据,但是两个不同源页面之间进行通信是比较常见的情形,典型的例子就是iframe窗口与父窗口之间的通信。随着历史的车轮,实现DOM层面间通信的方式有多种,如下所示:

片段标识符

片段标识符其核心原理就是通过监听url中hash的改变来实现数据的传递,想法真的很巧妙。

  1. // 父页面parentHtml.html 
  2. <!DOCTYPE html> 
  3. <html lang="zh"
  4.     <head> 
  5.         <title></title> 
  6.     </head> 
  7.     <body> 
  8.         我是父页面 
  9.         <button id='btn'>父传给子</button> 
  10.         <iframe src="./childHtml.html" id="childHtmlId"></iframe> 
  11.     </body> 
  12.     <script> 
  13.         window.onhashchange = function() { 
  14.             console.log(decodeURIComponent(window.location.hash)); 
  15.         }; 
  16.         document.getElementById('btn').addEventListener('click', () => { 
  17.             const iframeDom = document.getElementById('childHtmlId'); 
  18.             iframeDom.src += '#父传给子'
  19.         }); 
  20.     </script> 
  21. </html> 
  1. // 子页面childHtml.html 
  2. <!DOCTYPE html> 
  3. <html lang="zh"
  4.     <head> 
  5.         <title></title> 
  6.     </head> 
  7.     <body> 
  8.         我是子页面 
  9.         <button id='btn'>子传给父</button> 
  10.     </body> 
  11.     <script> 
  12.         window.onhashchange = function() { 
  13.             console.log(decodeURIComponent(window.location.hash)); 
  14.         }; 
  15.  
  16.         document.getElementById('btn').addEventListener('click', () => { 
  17.             parent.location.href += '#子传给父'
  18.         }); 
  19.     </script> 
  20. </html> 

window.name

浏览器窗口有window.name属性,这个属性的最大特点是,无论是否同源,只要在同一个窗口里,前一个网页设置了这个属性,后一个网页可以读取它。如果需要实现父页面和跨域的子页面之间的通信,需要一个和父页面同源的子页面作为中介,将跨域的子页面中的信息传递过来。(好麻烦呀,强烈不推荐使用,此处就不写对应的代码啦)

document.domain

document.domain是存放文档的服务器的主机名,可通过手动设置将其设置成当前域名或者上级的域名,当具有相同document.domain的页面就相当于处于同域名的服务器上,如果其域名和端口号相同就可以实现跨域访问数据了。

postMessage(强烈推荐)

window.postMessage是HTML5新增的跨文档通信API,该API,允许跨窗口通信,不论这两个窗口是否同源。

  1. // 父页面 
  2. <!DOCTYPE html> 
  3. <html lang="zh"
  4.     <head> 
  5.         <title></title> 
  6.     </head> 
  7.     <body> 
  8.         我是父页面 
  9.         <button id='btn'>父传给子</button> 
  10.         <iframe src="http://127.0.0.1:5500/024/childHtml.html" id="childHtmlId"></iframe> 
  11.     </body> 
  12.     <script> 
  13.         window.addEventListener('message'function(event) { 
  14.             console.log('父页面接收到信息', event.data); 
  15.         }); 
  16.         document.getElementById('btn').addEventListener('click', () => { 
  17.             const iframeDom = document.getElementById('childHtmlId'); 
  18.             iframeDom.contentWindow.postMessage('我是执鸢者1''http://127.0.0.1:5500/024/childHtml1.html'); 
  19.         }); 
  20.     </script> 
  21. </html> 
  1. // 子页面 
  2. <!DOCTYPE html> 
  3. <html lang="zh"
  4.     <head> 
  5.         <title></title> 
  6.     </head> 
  7.     <body> 
  8.         我是子页面 
  9.         <button id='btn'>子传给父</button> 
  10.     </body> 
  11.     <script> 
  12.         window.addEventListener('message'function(event) { 
  13.             console.log('子页面接收到信息', event.data); 
  14.         }); 
  15.  
  16.         document.getElementById('btn').addEventListener('click', () => { 
  17.             parent.postMessage('我是执鸢者2''http://127.0.0.1:5500/024/parentHtml1.html'); 
  18.         }); 
  19.     </script> 
  20. </html> 

25.2.2 网络层面

根据同源策略,浏览器默认是不允许XMLHttpRequest对象访问非同一站点的资源的,这会大大制约生产力,所以需要破解这种限制,实现跨域访问资源。目前广泛采用的主要有三种方式(注:该出不给出具体代码,后续会有专门的百题斩进行详细阐述):

通过代理实现

同源策略是浏览器为了安全制定的策略,所以服务端不会存在这样的限制,这样我们就可以将请求打到同源的服务器上,然后经由同源服务器代理至最终需要的服务器,从而实现跨域请求的目的。例如可以通过Nginx、Node中间件等。

JSONP的方式(具体实现见后续百题斩)

JSONP是一种借助script元素实现跨域的技术,它并没有使用XMLHttpRequest对象,其能够实现跨域主要得益于script有两个特点:

(1)src属性能够访问任何URL资源,并不会受到同源策略的限制;

(2)如果访问的资源包含JavaScript代码,其会在下载后自动执行。

CORS方式(具体实现见后续百题斩)

跨域资源共享(CORS),该机制可以进行跨域访问控制,从而使跨域数据传输得以安全进行。(实现一个跨域请求的方式,其中html访问网址为http://127.0.0.1:8009; 服务器监听端口为:8010)

(1)html页面内容

  1. <!DOCTYPE html> 
  2. <html> 
  3.     <head> 
  4.         <meta charset="UTF-8"
  5.         <title>test CORS</title> 
  6.     </head> 
  7.     <body> 
  8.         CORS 
  9.         <script src="https://code.bdstatic.com/npm/axios@0.20.0/dist/axios.min.js"></script> 
  10.         <script> 
  11.             axios('http://127.0.0.1:8010', { 
  12.                 method: 'get' 
  13.             }).then(console.log) 
  14.         </script> 
  15.     </body> 
  16. </html> 

(2)服务器端代码

  1. const express = require('express'); 
  2.  
  3. const app = express(); 
  4.  
  5. app.get('/', (req, res) => { 
  6.     console.log('get请求收到了!!!'); 
  7.     res.setHeader('Access-Control-Allow-Origin''http://127.0.0.1:8009'); 
  8.     res.send('get请求已经被处理'); 
  9. }) 
  10. app.listen(8010, () => { 
  11.     console.log('8010 is listening'
  12. }); 

 本文转载自微信公众号「执鸢者」,可以通过以下二维码关注。转载本文请联系执鸢者公众号。

 

责任编辑:武晓燕 来源: 执鸢者
前端跨域策略
相关推荐
前端Typeof和Instanceof
typeof方法虽然很好用,但该方法有一定的局限性:对于对象、数组、null返回的值是object。

2021-05-09 22:00:59

TypeofInstanceof运算符
前端 Typeof 和 Instanceof
typeof方法虽然很好用,但该方法有一定的局限性:对于对象、数组、null返回的值是object。比如typeof(window),typeof(document),typeof(null)返回的值都是object,这是为什么呢这就要从底层说起。

2021-10-19 22:23:05

typeof方式Instanceof
前端——JS中作用及作用真面目
作用域是指在程序中定义变量的区域,该位置决定了变量的生命周期。简言之作用域就是变量与函数的可访问范围,即作用域控制着变量和函数的可见性和生命周期。

2021-06-02 07:02:42

js作用域函数
前端原来浏览器中存在五类进程
浏览器已经从单进程浏览器阶段进化到多进程浏览器阶段,那么浏览器的多进程指的是哪些进程呢下面一起来看看。

2021-07-19 07:02:10

浏览器进程单进程浏览器
前端—— JS中9种遍历对象方法
对象是在编程中最常见的部分,很多情况下需要遍历该对象上的属性,那么有几种方式可以帮助我们遍历该对象上的属性呢下面一起来了解九种方法。

2021-05-19 07:02:42

JS对象方法
前端Js中6种变量声明方式
typeof是一个运算符,其有两种使用方式:(1)typeof(表达式);(2)typeof变量名;返回值是一个字符串,用来说明变量的数据类型;所以可以用此来判断number,string,object,boolean,function,undefined,symbol这七种类型。

2021-05-12 07:04:55

Js变量方式
前端——通俗易懂变量对象
变量对象是一个与执行上下文相关的特殊对象,存储着上下文中声明的内容。按照执行上下文可划分为全局上下文中的变量对象和函数上下文中的对象。

2021-05-30 19:02:59

变量对象上下文
前端赋值、浅拷贝、深拷贝大PK
相信老铁们不管是在学习还是面试过程中,都会遇到赋值、浅拷贝、深拷贝,特别是浅拷贝和深拷贝,我记忆比较深刻的遇到这个问题有两次:1.一次系统写出bug就是因为对深浅拷贝理解不清楚;2.百度面试。

2021-06-28 07:12:28

赋值浅拷贝深拷贝
前端从渲染流程认识重绘和回流
今天的主角“重绘和回流”就会导致浏览器触发更新,重新进行渲染绘制,但是两者稍有不同,重绘不会存在布局阶段,而回流会进行重新布局,所以回流代价更高、损耗更大。

2021-07-26 06:57:58

重绘回流前端
前端—浏览器中请求们
通过浏览器的控制台可以看到访问一个页面的时候会发起多个请求,并且这一系列请求会被分为多个类别,那么这些类别除了类型不同之外,还有什么区别呢

2021-07-14 07:00:53

浏览器技巧前端
前端——快速手撕Call、Apply、Bind
call()方法使用一个指定的this值和单独给出的一个或多个参数来调用一个函数。其返回值是使用调用者提供的this值和参数调用该函数的返回值,若该方法没有返回值,则返回undefined。

2021-06-09 07:01:30

前端CallApply
前端浏览器出让安全性造就Jsonp
众所周知,JSONP是一种跨域解决方案,下面来一步步剖析一下为什么JSONP能够解决跨域问题。

2021-07-08 07:01:53

浏览器安全前端
前端从验证点到手撕 New 操作符
新创建的实例可访问原型上的属性和方法,验证该关键点只需要访问原型上的方法即可实现,若原型上的方法能够被正常访问,则表示该验证点通过,负责不通过。

2021-12-03 06:59:23

操作符验证点属性
前端浏览器出让安全性造就Jsonp
众所周知,JSONP是一种跨域解决方案,下面来一步步剖析一下为什么JSONP能够解决跨域问题。

2021-11-03 06:57:41

浏览器Jsonp安全
前端—通俗易懂防抖与节流
防抖就是将多次高频操作优化为只在最后一次执行(某个函数在某段时间内,无论触发了多少次回调,都只执行最后一次)。通常的使用场景是:用户输入,只需在输入完成后做一次输入校验即可。

2021-11-19 09:01:09

防抖节流前端
前端之神奇浏览器渲染流程
下面一起来看看浏览器的渲染流程,主要包含构建DOM树、样式计算、布局阶段、分层、图层绘制、分块、栅格化操作、合成和显示。其整个渲染阶段流程如下图所示。

2021-07-26 05:01:55

浏览器渲染流程
Web前端“神秘”方式
JavaScript出于安全方面的考虑,不允许跨域调用其他页面的对象。那什么是跨域呢,简单地理解就是因为JavaScript同源策略的限制,a.com域名下的js无法操作b.com或是c.a.com域名下的对象。

2018-11-26 14:52:12

Web前端跨域
前端—赋值、浅拷贝、深拷贝大PK
浅拷贝指的就是循环遍历对象一遍,将该对象上的属性赋值到另一个对象上。在这个过程中属性值为基本类型则拷贝的就是基本类型的值;若该值为引用类型,则拷贝的就是就是一个内存地址。

2021-10-18 09:01:01

前端赋值浅拷贝
前端之一文了解HTTP缓存
缓存是指代理服务器或客户端本地磁盘内保存的资源副本,利用缓存可减少对源服务器的访问,节省通信流量和通信时间。

2021-08-04 06:56:49

HTTP缓存前端
前端网络七层模型及HTTP进化史
网络体系结构有多种划分标准:OSI体系结构、TCPIP的体系结构、五层协议的体系结构,其中OSI体系结构是划分的最细的一种体系结构,另外的TCPIP体系结构和五层协议的体系结构都是将OSI体系结构的某些层做了一些聚合获取得到的。

2021-08-02 06:49:46

HTTP网络模型
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服