|
由于安全方面的考慮�����,Javascript被限制了跨域訪問的能力����,但是有時候我們希望能夠做一些合理的跨域訪問的事情��,那么怎么辦呢���?
這里分兩類情況:
一���、基于同一父域的子域之間頁面的訪問;參見如下3個domain域:taobao.com����、jipiao.taobao.com、promotion.taobao.com��;它們有相同的父域taobao.com。
二�、基于不同父域頁面之間的訪問;參見如下3個domain域:taobao.com���、baidu.com����、sina.com.cn�����;它們具有不同的父域��。
解決它們之間跨域的方案有:
方案1:服務(wù)器Proxy
域A的頁面JS需要訪問域B下的鏈接獲取數(shù)據(jù)���,該方案在域A的服務(wù)器端建立一個Proxy程序(可能是ASP�、servlet等任何服務(wù)端程序)���,域A的頁面JS直接調(diào)用本域下的Proxy程序�����,proxy程序負責將請求發(fā)送給域B下的鏈接并獲取到數(shù)據(jù)�,最后再通過Proxy將數(shù)據(jù)返回給頁面JS使用。
經(jīng)過的訪問流程就是: 域A下JS --> 域A 下Proxy -- > 域B下的鏈接
例子:
第一步:
域A: http://Jipiao.taobao.com/test.htm
頁面上javascript腳本:
- <mce:script type="text/javascript"><!--
- Var sUrl="http://Jipiao.taobao.com/proxy.do"; //本域下代理地址
- var callback =
- {
- success: function(res) { alert(res.responseText); },
- failure: function(res) { alert('failure');},
- argument:{}
- }
- YAHOO.util.Connect.asyncRequest('GET', sUrl, callback, null);
-
第二步:
完成域A服務(wù)端的Proxy程序(這里假定是一個servlet)��,偽碼如下:
- Public class Proxy extends …….{
- ..doGet(……..){
- HttpClient client=……;
- GetMethod get=new GetMethod("www.baidu.com/xxxxx.do");
- int statusCode = client.executeMethod(get);
- if (statusCode != HttpStatus.SC_OK) {
- byte[] responseBody = get.getResponseBody();
- String res=new String(responseBody);
- Httpresponse.getWriter().write(res);
- }
- }
-
- }
方案2:通過Script標簽:
在域A頁面http://Jipiao.taobao.com/test.htm 的head中寫一個空的Script標簽:
- <html>
- <head>
- <mce:script id="remoteScript" type="text/javascript" src=""/><!--
- <head>
- <body>
- <script type="text/javascript" >
- Var remoteScript=document.getElementById("remoteScript");
- remoteScript.src="www.baidu.com/xxxxx.do";//域B的鏈接
- alert(remote.test);//使用域B返回的JSON數(shù)據(jù)
- alert(f[0]);
- // --></mce:script>
- </body>
- </html>
注意:這種方案要求域B返回的數(shù)據(jù)必須是合法的JSON格式或者如JS文件的格式���;比如域B返回的數(shù)據(jù)格式如下:
Var remote={test:’hello’};
Var f=[2,1];
方案3:隱藏iframe���、共享domain:
即域A頁面http://jipiao.taobao.com/yyyy.htm 的頁面上寫一個隱藏的iframe:
- <html>
- <head>
- <head>
- <body>
- <mce:script type="text/javascript" ><!--
- Document.domain="taobao.com";
- Var remoteHtml=document.getElementById("remoteHtml");
- remoteHtml.src="promotion.taobao.com/xxxx.htm";//這里訪問域B的鏈接
- var document=remoteHtml.ContentDocument; //這里就可以使用document來操作域B中頁面xxx.htm的數(shù)據(jù)了
- // --></mce:script>
- <iframe id="remoteHtml" src="" style="diapay:none" mce_style="diapay:none"/>
- </body>
- </html>
注意:這里http://promotion.taobao.com/xxxx.htm 頁面也需要設(shè)置document.domain="taobao.com", 這種方法才能奏效����。
之所以這種iframe的方法不適合不同父域之間的跨域,是因為設(shè)置document.domain只能設(shè)置為自己的父域���,而不是能設(shè)置為其他域,例如:jiapiao.taobao.com只能設(shè)置document.domain="taobao.com"��,而不能是document.domain="baidu.com"��;
這里列舉的三種方案各有優(yōu)缺點:
Proxy方案優(yōu)點是可以適用用于幾乎所有的跨域訪問����,而且只需要要一個域中進行開發(fā),另一個域可以提供任何類型格式的數(shù)據(jù)�����。缺點是這種方案經(jīng)過了中間Proxy,所以延遲可能稍微大一點�,并且會加重本域服務(wù)器的負荷,開發(fā)工作量也稍微大一點��。
Script標簽的方案可以說是非常簡單的����,不用幾行代碼就搞定了事,不過它對返回的數(shù)據(jù)格式要求有點嚴格�����,只能是Json格式數(shù)據(jù),如果是其他格式的數(shù)據(jù)���,那么這種方法就無能為力了�����。
隱藏iframe方式也很簡單���,它可以處理任何返回的數(shù)據(jù)格式,但它只適用在具有同一個父域下的跨域請求上����,并且要求其他域得配合開發(fā)�����,即需要設(shè)置document.domain�����。 對于JS跨域訪問的意思���,我想再補充幾點:
- 跨域訪問,簡單來說就是 A 網(wǎng)站的 javascript 代碼試圖訪問 B 網(wǎng)站�����,包括提交內(nèi)容和獲取內(nèi)容�����;比如想從A網(wǎng)站的頁面中執(zhí)行另外一個B網(wǎng)站內(nèi)某頁面中的JS對象����、或者想在A網(wǎng)站的頁面中用JS去解析B網(wǎng)站內(nèi)某頁面的dom元素等��;出現(xiàn)這種跨域訪問問題的應(yīng)用場景一般是iframe中嵌入不同域的頁面、或者向不同域發(fā)送Ajax請求等���;
- 由于安全原因��,跨域訪問是被各大瀏覽器所默認禁止的����;但是瀏覽器并不禁止在頁面中引用其他域的JS文件�����,并可以自由執(zhí)行引入的JS文件中的function���;這點個人覺得至關(guān)重要���!
- 是否跨域的判斷規(guī)則為對三者進行比較:域名、協(xié)議����、端口;三者中若有一個不相同���,則會出現(xiàn)跨域問題�����;我們經(jīng)常說的跨域問題一般指域名不同���,因為這種場景出現(xiàn)的幾率最高而且有一些辦法可以解決��;比如前面提到的taobao.com域下的二級域名跨域問題��;
- 對于主域都不一樣�、或者協(xié)議不同(比如https與http)的跨域問題(比如*.taobao.com域想訪問*.baidu.com域內(nèi)的內(nèi)容)����,想從Web端來解決是完全不可能的,只能通過服務(wù)端Proxy的方案來解決���;
- 常見的不同域間的頁面制約dom元素包括:
window.location 可以設(shè)置����,但不能讀取�����。其它的 location 屬性和方法被禁止訪問���;
document.href 可以設(shè)置����,但不能讀取�。其它的 document 屬性和方法被禁止訪問;
<iframe> 的 src 可以設(shè)置�����,但不能讀取�;
|
