摘要:同源策略瀏覽器出于安全方面的考慮���,不同源的客戶端腳本在沒有明確授權(quán)的情況下�����,不能讀寫對方的資源����。傳回后回調(diào)函數(shù)立即執(zhí)行參數(shù)是后端產(chǎn)生的數(shù)據(jù)從而實現(xiàn)相應的功能。
同源策略
瀏覽器出于安全方面的考慮��,不同源的客戶端腳本在沒有明確授權(quán)的情況下����,不能讀寫對方的資源。
同源指的是:
同協(xié)議
同域名
同端口
作用:保證用戶信息的安全�����,防止惡意的網(wǎng)站竊取數(shù)據(jù)
例1:A網(wǎng)站是一家銀行����,用戶登錄以后,又去瀏覽其他網(wǎng)站���。如果其他網(wǎng)站可以讀取A網(wǎng)站的 Cookie�,會發(fā)生什么�����?很顯然,如果 Cookie 包含隱私(比如存款總額)�����,這些信息就會泄漏����。除此之外,Cookie 往往用來保存用戶的登錄狀態(tài)��,如果用戶沒有退出登錄���,其他網(wǎng)站就可以冒充用戶,為所欲為��。(因為瀏覽器同時還規(guī)定�����,提交表單不受同源政策的限制)
例2:惡意網(wǎng)站的頁面通過iframe嵌入了銀行的登錄頁面(二者不同源)����,如果沒有同源限制,惡意網(wǎng)頁上的javascript腳本就可以在用戶登錄銀行的時候獲取用戶名和密碼�,從而造成相關(guān)的風險��。
對于當前頁面來說頁面中 JS 文件的域不重要����,重要的是當前頁面所在的域與 腳本中涉及到的域(例如xht的open方法的url)是否同源
跨域
跨域:瀏覽器出于安全方面的考慮設置了同源策略來限制不同域之間的交互��,但是也阻礙了不域之間的協(xié)助�。為了實現(xiàn)不同域之間的交互、協(xié)作��,因此需要“跨域”�。
跨域窗口通信
降域
降域獲取同一 Cookie:Cookie 是服務器寫入瀏覽器的一小段信息,只有同源的網(wǎng)頁才能共享����。但是,兩個網(wǎng)頁一級域名相同�,只是二級域名不同,瀏覽器允許通過設置document.domain 共享 Cookie���。
example:A 網(wǎng)頁是 http://w1.example.com/a.html����,B 網(wǎng)頁是http://w2.example.com/b.html,那么只要設置相同的 document.domain�,兩個網(wǎng)頁就可以共享 Cookie。
JavaScript
// A網(wǎng)頁和B網(wǎng)頁設置相同的 document.domain
document.domain = "example.com"
// A網(wǎng)頁通過腳本設置 Cookie
document.cookie = "test1 = hello";
// B網(wǎng)頁可以獲取到該 Cookie
var otherCookie = document.cookie;
降域使不同源的iframe窗口和父窗口相互通信:如果兩個網(wǎng)頁不同源�����,就無法拿到對方的
DOM�����。典型的例子是 iframe 窗口和與父窗口無法通信���。如果兩個窗口一級域名相同��,只是二級域名不同,那么設置 document.domain 屬性���,就可以規(guī)避同源政策����,拿到
DOM��。
A 網(wǎng)頁:URL: http://a.yanxin.com:8080/a.html
HTML
script
iframe 中的 B 網(wǎng)頁:URL: http://b.yanxin.com:8080/b.html
HTML
script
postMessage
HTML5為了解決跨域問題�,引入了一個全新的API:跨文檔通信 API(Cross-document messaging)。
這個API為window對象新增了一個window.postMessage方法,允許跨窗口通信�,不論這兩個窗口是否同源。
目的:向另一個地方傳遞數(shù)據(jù)�����,另一個地方指的是:包含在當前頁面的
