了解跨域的时候我们要先了解这个名词 Same Origin Policy 同源策略。
我们先了解一下同源策略、主要包括三个方面 1. 协议 2. 主机 3. URL的端口,同源策略的要求是指只能读取和所属文档来源相同的窗口和文档的属性这样一个规定。
同源策略的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的资源,而不是那些来自其它站点可能怀有恶意的资源。
非同源,共有三种行为受到限制:
- Cookie、LocalStorage 和 IndexDB 无法读取。
- DOM 无法获取。
- AJAX 请求不能发送。
在网上找了一下跨域的传统技术简要的说一下:
1.可以说更改document.domain属性的方法是最为直接快速的的方法,也较为常见。通过将从不同域中得到的脚本的document.domain属性设置为同一个值,就可以使得这些脚本之间可以相互交互。例如从“http://blog.ambergarden.com”得到的网页可以通过执行如下的脚本改变其document.domain属性中记录的所属域:
document.domain = 'hello.com'
该脚本就可以访问hello.com中的数据了.
缺点就是开发人员不可以随便设置document.domain属性的值,至少在一些浏览器上是如此的。
2、跨文档消息则是通过向Window实例发送消息来完成的。在使用时,软件开发人员需要通过调用一个Window的postMessage()函数来向该Window实例发送消息。此时Window实例内部的onmessage事件将被触发,进而使得该事件的消息处理函数被调用。但是在接收到消息的时候,消息处理函数首先需要判断消息来源的合法性,以避免恶意用户通过发送消息的方式来非法执行代码。
3、JSONP则是通过在文档中嵌入一个<script>标记来从另一个域中返回数据。
该方法的缺点就是:只支持Get,不支持Post;
未完 待续。。。。。。
249
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
