什么是二级域名:www.minjian.com 这种格式的域名称之为二级域名, www只是一个主机名。
什么是一级域名:minjian.com 这种格式的域名才称之为一级域名,minjian是域名主体,.com是域名后缀名,也可以是.net域名后缀名,也可以是.hu域名后缀名。
区别:1.多用二级域名的子网站,它的PR值往往要比一级域名低一个档次。2.二级域名是依附一级域名存在的。3.搜索引擎对一级域名的收录,以及权重分配都比二级域名好。
同源策略:同端口,同域名,同协议。
URL | 情况 | 通信情况 |
http://www.a.com/a.js http://www.a.com/b.js | 同一域名 | 允许 |
http://www.a.com/lab/a.js http://www.a.com/script/b.js | 同一域名下不同文件夹 | 允许 |
http://www.a.com:8000/a.js http://www.a.com/b.js | 同一域名,不同端口 | 不允许 |
http://www.a.com/a.js https://www.a.com/b.js | 同一域名,不同协议 | 不允许 |
http://www.a.com/a.js http://script.a.com/b.js | 主域相同,子域不同 | 不允许 |
http://www.a.com/a.js | 域名相同,二级域名不同 | 不允许(这种情况cookie也不允许访问) |
http://www.cnblogs.com/a.js http://www.a.com/b.js | 不同域名 | 不允许 |
http://www.a.com/a.js http://70.32.92.74/b.js | 域名和域名对应ip | 不允许 |
注意:1.如果是协议和端口造成的跨域问题,前端是无法解决的。
2.在跨域问题上,域仅仅是通过“URL的首部”来识别而不会去尝试判断相同ip地址对应着两个域名或是两个域名是否在同一个ip上
“URL的首部”指window.location.protocol +window.location.host,也可以理解为“Domains, protocols and ports must match”
1.解决跨域问题:(只有在主域名相同的时候才能使用)
1.1>document.domain + iframe
1.在www.a.com/a.html: document.domain = "a.com"; var ifr =document.createElement('iframe'); ifr.src = "http://www.script.a.com/b.html"; ifr.display = none; ifr.onload = function(){ var doc = ifr.contentDocument || ifr.contentWindow.document; //在这里操作doc,也就是b.html; ifr.onload = null; } 2.www.script.a.com/b.html: document.domain = "a.com";
3.window.name + iframe
name 值在不同的页面(甚至不同域名)加载后依旧存在,并且可以支持非常长的 name 值(2MB)。
3.1 创建b.com/cs1.html 3.2 创建a.com/proxy.html,并加入如下代码
window.name = '我是页面a中设置的值'; setTimeout(function(){ window.location = 'b.com/cs1.html'; },1000)//两秒后把一个新页面b.html载入到当前的window中
3.3 在b.com/cs1.html: <script> console.log(window.name); </script>
以上想要跨域是要跳转页面的,如何通过不跳转页面来进行跨域呢,
1.b。html为请求的页面内容,内容必须是window.name的内容。
2.a页面使用一个隐藏的iframe标签,src指向b.html页面,iframe.contentWindow.name就会得到数据。
3.a页面想要拿到iframe得到的数据,也必须把iframe的src设置成跟a.html页面同一个域才行。
<body> <iframe id="proxy" src="http://www.cnblogs.com/data.html" style="display: none;" onload = "getData()"> <script> function getData(){ var iframe = document.getElementById('proxy); iframe.onload = function(){ var data = iframe.contentWindow.name; //上述即为获取iframe里的window.name也就是data.html页面中所设置的数据; } iframe.src = 'b.html'; } </script> </body>
5.CORS全称是"跨域资源共享"(Cross-origin resource sharing)
它允许浏览器向跨源服务器,发出XMLHttpRequest
请求,从而克服了AJAX只能同源使用的限制。
1.先声明它支持的浏览器ie不能低于10,其他都支持。
2.简单请求
同时满足以下条件属于简单请求
(1) 请求方法是以下三种方法之一: HEAD GET POST (2)HTTP的头信息不超出以下几种字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
3.简单请求的基本流程
浏览器发现请求是跨域请求会自动在头信息加上Origin字段,
GET /cors HTTP/1.1 Origin: http://b.html Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。
如果Origin指定的源不在许可范围内,服务器会返回一个正常的http响应。但是会报错,因为头信息没有包含Access-Control-Allow-Origin字段。
如果在许可范围内,则会返回以下字段
Access-Control-Allow-Origin: http://b.html Access-Control-Allow-Credentials: true Access-Control-Expose-Headers: FooBar Content-Type: text/html; charset=utf-8
(1) Access-Control-Allow-Origin
该字段是必须的,它的值要么是请求时Origi字段的值,要么是一个*,表示接受任意域名的请求。
(2)Access-Control-Allow-Credentials
该字段可选,表示是否允许发送cookie,默认情况下,cookie不包括在cors请求之中,设为true,即表示服务器明确许可。cookie可以包含在请求中,一起发给服务器,这个值也只能设为true,如果服务器不要浏览器发送cookie,删除该字段即可。
(3)Access-Control-Expose-Headers
该字段可选,cors请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control
、Content-Language
、Content-Type
、Expires
、Last-Modified
、Pragma 。如果想拿到其他字段,就必须在
Access-Control-Expose-Headers
里面指定。上面的例子指定,getResponseHeader('FooBar')
可以返回FooBar
字段的值。
4.withCredentials属性
默认情况cors不发送cookie和http认证信息,想要发送就得设置。
Access-Control-Allow-Credentials: true
另外,前端必须也要在ajax请求中打开withCredentials
属性。
var xhr = new XMLHttpRequest(); xhr.withCredentials = true;
否则,服务器即使同意发送cookie,浏览器也不会发送。或者服务器要求设置cookie,浏览器也不会处理。
但是如果省略withCredentials属性,有的浏览器还是会一起发送cookie,这时,可以显式关闭withCredentials。
xhr.withCredentials = false;
注意::如果要发送cookie,Access-Control-Allow-Origin就不能设置为*号,必须指定明确的,与请求网页一致的域名,同时cookie依然遵循同源策略,只有用服务区域名设置的cookie才会上传,其他域名的cookie并不会上传,且(跨域)原网页代码中的document.cookie也无法读取服务器名下的cookie。
非简单请求
1.非简单请求是那种对服务器有特殊要求的请求,比如请求方法是put或者delete,或者Content-Type字段的类型是application/json.
非简单请求的cors请求,会在正式通信之前,增加一次http查询请求,成为“预检“请求。
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest
请求,否则就报错。
var url = 'http://api.alice.com/cors'; var xhr = new XMLHttpRequest(); xhr.open('PUT', url, true); xhr.setRequestHeader('X-Custom-Header', 'value'); xhr.send();
http请求的方法是put,并且发送一个自定义信息X-Custom-Header。
浏览器发现,这是个非简单请求,就自动发出一个"预检"请求,要求服务器确认可以这样请求。下面是这个"预检"请求的HTTP头信息。
OPTIONS /cors HTTP/1.1 Origin: http://api.bob.com Access-Control-Request-Method: PUT Access-Control-Request-Headers: X-Custom-Header Host: api.alice.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
"预检"请求用的请求方法是OPTIONS
,表示这个请求是用来询问的。头信息里面,关键字段是Origin
,表示请求来自哪个源。
除了Origin
字段,"预检"请求的头信息包括两个特殊字段。
(1)Access-Control-Request-Method
该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT
。
(2)Access-Control-Request-Headers
该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header
4.2 预检请求的回应
服务器收到"预检"请求以后,检查了Origin
、Access-Control-Request-Method
和Access-Control-Request-Headers
字段以后,确认允许跨源请求,就可以做出回应。
HTTP/1.1 200 OK Date: Mon, 01 Dec 2008 01:15:39 GMT Server: Apache/2.0.61 (Unix) Access-Control-Allow-Origin: http://api.bob.com Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Content-Type: text/html; charset=utf-8 Content-Encoding: gzip Content-Length: 0 Keep-Alive: timeout=2, max=100 Connection: Keep-Alive Content-Type: text/plain
上面的HTTP回应中,关键的是Access-Control-Allow-Origin
字段,表示http://api.bob.com
可以请求数据。该字段也可以设为星号,表示同意任意跨源请求。
Access-Control-Allow-Origin: *
如果浏览器否定了"预检"请求,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段。这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被XMLHttpRequest
对象的onerror
回调函数捕获。控制台会打印出如下的报错信息。
XMLHttpRequest cannot load http://api.alice.com. Origin http://api.bob.com is not allowed by Access-Control-Allow-Origin.
服务器回应的其他CORS相关字段如下。
Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Access-Control-Allow-Credentials: true Access-Control-Max-Age: 1728000
(1)Access-Control-Allow-Methods
该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。
(2)Access-Control-Allow-Headers
如果浏览器请求包括Access-Control-Request-Headers
字段,则Access-Control-Allow-Headers
字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在"预检"中请求的字段。
(3)Access-Control-Allow-Credentials
该字段与简单请求时的含义相同。
(4)Access-Control-Max-Age
该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求。
4.3 浏览器的正常请求和回应
一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin
头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin
头信息字段。
下面是"预检"请求之后,浏览器的正常CORS请求。
PUT /cors HTTP/1.1 Origin: http://api.bob.com Host: api.alice.com X-Custom-Header: value Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0...
上面头信息的Origin
字段是浏览器自动添加的。
下面是服务器正常的回应。
Access-Control-Allow-Origin: http://api.bob.com Content-Type: text/html; charset=utf-8
上面头信息中,Access-Control-Allow-Origin
字段是每次回应都必定包含的。
6.JSONP
JSONP包含两部分:回调函数和数据。
回调函数是当响应到来时要放在当前页面被调用的函数。
数据就是传入回调函数中的json数据,也就是回调函数的参数了。
$.ajax({
url: "http://baidu.com",
type: "GET",
dataType: "jsonp", //指定服务器返回的数据类型
success: function (data) {
var result = JSON.stringify(data); //json对象转成字符串
// $("#text").val(result);
console.log(data)
}
});
jsonp虽然很简单,但是有如下缺点:
1.安全问题(请求代码中可能存在安全隐患)
2.要确定jsonp请求是否失败并不容易
7.web sockets
web sockets是一种浏览器的API,它的目标是在一个单独的持久连接上提供全双工、双向通信。(同源策略对web sockets不适用)
web sockets原理:在JS创建了web socket之后,会有一个HTTP请求发送到浏览器以发起连接。取得服务器响应后,建立的连接会使用HTTP升级从HTTP协议交换为web sockt协议。
只有在支持web socket协议的服务器上才能正常工作。
var socket = new WebSockt('ws://www.baidu.com');//http->ws; https->wss socket.send('hello WebSockt'); socket.onmessage = function(event){ var data = event.data; }