Javascript中幾種實(shí)用的跨域方法

這里說(shuō)的js跨域是指通過(guò)js在不同的域之間進(jìn)行數(shù)據(jù)傳輸或通信，比如用ajax向一個(gè)不同的域請(qǐng)求數(shù)據(jù)，或者通過(guò)js獲取頁(yè)面中不同域的框架中(iframe)的數(shù)據(jù)。只要協(xié)議、域名、端口有任何一個(gè)不同，都被當(dāng)作是不同的域。

下表給出了相對(duì)http://store.company.com/dir/page.html同源檢測(cè)的結(jié)果，

要解決跨域的問(wèn)題，我們可以使用以下幾種方法，

通過(guò)jsonp跨域

在js中，我們直接用XMLHttpRequest請(qǐng)求不同域上的數(shù)據(jù)時(shí)是不可以的。但是，在頁(yè)面上引入不同域上的js腳本卻是可以的。jsonp正是利用這個(gè)特性來(lái)實(shí)現(xiàn)的。

比如，有個(gè)a.html頁(yè)面，它里面的代碼需要利用ajax獲取一個(gè)不同域上的json數(shù)據(jù)，假設(shè)這個(gè)json數(shù)據(jù)地址是http://example.com/data.php，那么a.html中的代碼就可以這樣，

<script>
function dosomething(jsonData) {
    // 處理獲得的json數(shù)據(jù)
}
</script>
<script src="http://example.com/data.php?callback=dosomething" rel="external nofollow" ></script>

我們看到獲取數(shù)據(jù)的地址后面還有一個(gè)callback參數(shù)（按慣例是用這個(gè)參數(shù)名，但是你用其他的也一樣）。當(dāng)然如果獲取數(shù)據(jù)的jsonp地址頁(yè)面不是你自己能控制的，就得按照提供數(shù)據(jù)的那一方的規(guī)定格式來(lái)操作了。

因?yàn)槭钱?dāng)做一個(gè)js文件來(lái)引入的，所以http://example.com/data.php返回的必須是一個(gè)能執(zhí)行的js文件，所以這個(gè)頁(yè)面的php代碼可能是這樣的，

<?php
$callback = $_GET['callback']; // 得到回調(diào)的函數(shù)名
$data = array('a', 'b', 'c'); // 要返回的數(shù)據(jù)
echo $callback.'('.json_encode($data).')'; // 輸出
?>

最終，頁(yè)面上的輸出結(jié)果為，

dosomething(['a', 'b', 'c']);

所以通過(guò)http://example.com/data.php?callback=dosomething得到的js文件，就是我們之前定義的dosomething函數(shù),并且它的參數(shù)就是我們需要的json數(shù)據(jù)，這樣我們就跨域獲得了我們需要的數(shù)據(jù)。

這樣jsonp的原理就很清楚了，通過(guò)script標(biāo)簽引入一個(gè)js文件，這個(gè)js文件載入成功后會(huì)執(zhí)行我們?cè)趗rl參數(shù)中指定的函數(shù)，并且會(huì)把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁(yè)面進(jìn)行相應(yīng)的配合的。

知道jsonp跨域的原理后我們就可以用js動(dòng)態(tài)生成script標(biāo)簽來(lái)進(jìn)行跨域操作了，而不用特意的手動(dòng)的書(shū)寫(xiě)那些script標(biāo)簽。如果你的頁(yè)面使用jquery，那么通過(guò)它封裝的方法就能很方便的來(lái)進(jìn)行jsonp操作了。

$.getJSON('http://example.com/data.php?callback=?', function() {
    // 處理獲得的json數(shù)據(jù)
});

原理是一樣的，只不過(guò)我們不需要手動(dòng)的插入script標(biāo)簽以及定義回掉函數(shù)。jquery會(huì)自動(dòng)生成一個(gè)全局函數(shù)來(lái)替換callback=?中的問(wèn)號(hào)，之后獲取到數(shù)據(jù)后又會(huì)自動(dòng)銷(xiāo)毀，實(shí)際上就是起一個(gè)臨時(shí)代理函數(shù)的作用。

$.getJSON方法會(huì)自動(dòng)判斷是否跨域，不跨域的話，就調(diào)用普通的ajax方法?？缬虻脑挘瑒t會(huì)以異步加載js文件的形式來(lái)調(diào)用jsonp的回調(diào)函數(shù)。

通過(guò)修改document.domain來(lái)跨子域

瀏覽器都有一個(gè)同源策略，它有如下幾個(gè)限制，

• 第一種方法中我們說(shuō)的不能通過(guò)ajax的方法去請(qǐng)求不同源中的文檔
• 瀏覽器中不同域的框架之間是不能進(jìn)行js的交互操作的。

有一點(diǎn)需要說(shuō)明，不同的框架（iframe）之間（父子或同輩），是能夠獲取到彼此的window對(duì)象的，但蛋疼的是你卻不能使用獲取到的window對(duì)象的屬性和方法(html5中的postMessage方法是一個(gè)例外，還有些瀏覽器比如ie6也可以使用top、parent等少數(shù)幾個(gè)屬性)，總之，你可以當(dāng)做是只能獲取到一個(gè)幾乎無(wú)用的window對(duì)象。

比如，有一個(gè)頁(yè)面，它的地址是http://www.example.com/a.html，在這個(gè)頁(yè)面里面有一個(gè)iframe，它的src是http://example.com/b.html, 很顯然，這個(gè)頁(yè)面與它里面的iframe框架是不同域的，所以我們是無(wú)法通過(guò)在頁(yè)面中書(shū)寫(xiě)js代碼來(lái)獲取iframe中的東西的，

<script>
function onLoad() {
    var iframe = document.getElementById('iframe');
    // 這里是能夠獲取iframe中的window對(duì)象的，
    // 但是這個(gè)window對(duì)象的屬性和方法幾乎都是不可用的。
    var win = iframe.contentWindow; 
    var doc = win.document; // 這里獲取不到iframe的document對(duì)象
    var name = win.name； // 這里同樣是獲取不到windowd對(duì)象的name屬性的
    // ...
}
</script>
<iframe id="iframe" src="http://example.com/b.html" rel="external nofollow"  rel="external nofollow"  onLoad="onLoad()"></iframe>

這個(gè)時(shí)候，document.domain就可以派上用場(chǎng)了。

我們只要把http://www.example.com/a.html和http://example.com/b.html這兩個(gè)頁(yè)面的document.domain都設(shè)成相同的域名就可以了。

但要注意的是，document.domain的設(shè)置是有限制的，我們只能把document.domain設(shè)置成自身或更高一級(jí)的父域，且主域必須相同。

例如：a.b.example.com中某個(gè)文檔的document.domain可以設(shè)成a.b.example.com、b.example.com、example.com這三個(gè)中的任意一個(gè)，但是不可以設(shè)成c.a.b.example.com，因?yàn)檫@是當(dāng)前域的子域，也不可以設(shè)成baidu.com，因?yàn)橹饔蛞呀?jīng)不相同了。

在頁(yè)面http://www.example.com/a.html中設(shè)置document.domain，

<iframe src="http://example.com/b.html" rel="external nofollow"  rel="external nofollow"  id="iframe" onLoad="test()"></iframe>
<script>
document.domain = 'example.com';
function test() {
    alert(document.getElementById('iframe').contentWindow);
}
</script>

在頁(yè)面http://example.com/b.html中也設(shè)置document.domain，而且這是必須的，雖然這個(gè)文檔的domain就是example.com,但是還是必須顯式的設(shè)置document.domain的值，

<script>
// 在iframe載入的這個(gè)頁(yè)面也設(shè)置document.domain，使之與主頁(yè)面的document.domain一致
document.domain = 'example.com';
</script>

這樣我們就可以通過(guò)js訪問(wèn)到iframe中的各種屬性和對(duì)象了。

不過(guò)如果你想在http://www.example.com/a.html頁(yè)面中通過(guò)ajax直接請(qǐng)求http://example.com/b.html頁(yè)面，即使你設(shè)置了相同的document.domain也還是不行的，所以修改document.domain的方法只適用于不同子域的框架間的交互。

如果你想通過(guò)ajax的方法去與不同子域的頁(yè)面交互，除了使用jsonp的方法外，還可以用一個(gè)隱藏的iframe來(lái)做一個(gè)代理。

原理就是讓這個(gè)iframe載入一個(gè)與你想要通過(guò)ajax獲取數(shù)據(jù)的目標(biāo)頁(yè)面處在相同的域的頁(yè)面，所以這個(gè)iframe中的頁(yè)面是可以正常使用ajax去獲取你要的數(shù)據(jù)的，然后就是通過(guò)我們剛剛講得修改document.domain的方法，讓我們能通過(guò)js完全控制這個(gè)iframe，這樣我們就可以讓iframe去發(fā)送ajax請(qǐng)求，然后收到的數(shù)據(jù)我們也可以獲得了。

使用window.name來(lái)進(jìn)行跨域

window對(duì)象有個(gè)name屬性，該屬性有個(gè)特征：即在一個(gè)窗口(window)的生命周期內(nèi)，窗口載入的所有的頁(yè)面都是共享一個(gè)window.name的，每個(gè)頁(yè)面對(duì)window.name都有讀寫(xiě)的權(quán)限，window.name是持久存在一個(gè)窗口載入過(guò)的所有頁(yè)面中的，并不會(huì)因新頁(yè)面的載入而進(jìn)行重置。

比如：有一個(gè)頁(yè)面a.html,它里面有這樣的代碼，

<script>
window.name = '我是頁(yè)面a設(shè)置的值';
setTimeout(function() {
    window.location = 'b.html';
}, 3000);
</script>

在看看b.html的頁(yè)面代碼，

<script>
    alert(window.name);
</script>

當(dāng)a.html載入3秒之后，跳轉(zhuǎn)到了b.html頁(yè)面，將會(huì)彈出“我是頁(yè)面a設(shè)置的值”。

我們看到在b.html頁(yè)面上成功獲取到了它的上一個(gè)頁(yè)面a.html給window.name設(shè)置的值。

如果在之后所有載入的頁(yè)面都沒(méi)對(duì)window.name進(jìn)行修改的話，那么所有這些頁(yè)面獲取到的window.name的值都是a.html頁(yè)面設(shè)置的那個(gè)值。當(dāng)然，如果有需要，其中的任何一個(gè)頁(yè)面都可以對(duì)window.name的值進(jìn)行修改。

注意，window.name的值只能是字符串的形式，這個(gè)字符串的大小最大能允許2M左右甚至更大的一個(gè)容量，具體取決于不同的瀏覽器，但一般是夠用了。

上面的例子中，我們用到的頁(yè)面a.html和b.html是處于同一個(gè)域的，但是即使a.html與b.html處于不同的域中，上述結(jié)論同樣是適用的，這也正是利用window.name進(jìn)行跨域的原理。

下面就來(lái)看一看具體是怎么樣通過(guò)window.name來(lái)跨域獲取數(shù)據(jù)的。還是舉例說(shuō)明。

比如有一個(gè)www.example.com/a.html頁(yè)面,需要通過(guò)a.html頁(yè)面里的js來(lái)獲取另一個(gè)位于不同域上的頁(yè)面www.cnblogs.com/data.html里的數(shù)據(jù)。

data.html頁(yè)面里的代碼很簡(jiǎn)單，就是給當(dāng)前的window.name設(shè)置一個(gè)a.html頁(yè)面想要得到的數(shù)據(jù)值。data.html里的代碼如下，

<script>
    window.name = '我就是頁(yè)面a.html想要的數(shù)據(jù)，所有可以轉(zhuǎn)化成字符串來(lái)傳遞的數(shù)據(jù)都可以在這里使用！';
</script>

那么在a.html頁(yè)面中，我們?cè)趺窗裠ata.html頁(yè)面載入進(jìn)來(lái)呢？

顯然我們不能直接在a.html頁(yè)面中通過(guò)改變window.location來(lái)載入data.html頁(yè)面，因?yàn)槲覀兿胍词筧.html頁(yè)面不跳轉(zhuǎn)也能得到data.html里的數(shù)據(jù)。

答案就是在a.html頁(yè)面中使用一個(gè)隱藏的iframe來(lái)充當(dāng)一個(gè)中間人角色，由iframe去獲取data.html的數(shù)據(jù)，然后a.html再去得到iframe獲取到的數(shù)據(jù)

充當(dāng)中間人的iframe想要獲取到data.html的通過(guò)window.name設(shè)置的數(shù)據(jù)，只需要把這個(gè)iframe的src設(shè)為www.cnblogs.com/data.html就行了。然后a.html想要得到iframe所獲取到的數(shù)據(jù)，也就是想要得到iframe的window.name的值，還必須把這個(gè)iframe的src設(shè)成跟a.html頁(yè)面同一個(gè)域才行，不然根據(jù)前面講的同源策略，a.html是不能訪問(wèn)到iframe里的window.name屬性的。這就是整個(gè)跨域過(guò)程。

看下a.html頁(yè)面的代碼，

<!doctype html>
<html>
<head>
    <meta charset='utf-8' />
    <title>window.name跨域</title>
    <script>
        function getData() { // iframe載入data.html頁(yè)面后會(huì)執(zhí)行此函數(shù)
            var iframe = document.getElementById('proxy');
            // 這時(shí)候a.html與iframe已經(jīng)是處于同一源了，可以相互訪問(wèn)
            iframe.onload = function()　{
                // 獲取iframe里的window.name，也就是data.html頁(yè)面給它設(shè)置的數(shù)據(jù)
                var data = iframe.contentWindow.name;
                alert(data);
            };
            iframe.src = 'b.html'; // 這里的b.html為一個(gè)隨便的頁(yè)面，只要與a.html同源就行了，目的是讓a.html能夠訪問(wèn)到iframe中的東西，設(shè)置成about:blank也是可以的
        }
    </script>
</head>
<body>
    <iframe id="proxy" src="http://www.example.com/data.html" rel="external nofollow"  style="display: none" onload="getData()"></iframe>
</body>
</html>

上面的代碼只是最簡(jiǎn)單的原理演示代碼，你可以對(duì)使用js封裝上面的過(guò)程，比如動(dòng)態(tài)的創(chuàng)建iframe,動(dòng)態(tài)的注冊(cè)各種事件等等，當(dāng)然為了安全，獲取完數(shù)據(jù)后，還可以銷(xiāo)毀作為代理的iframe。網(wǎng)上也有很多類(lèi)似的現(xiàn)成代碼，有興趣的可以去找一下。

通過(guò)window.name來(lái)進(jìn)行跨域，就是這樣子的。

使用window.postMessage

window.postMessage(message,targetOrigin)方法是html5新引進(jìn)的特性，可以使用它來(lái)向其它的window對(duì)象發(fā)送消息，無(wú)論這個(gè)window對(duì)象是屬于同源或不同源。

目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經(jīng)支持window.postMessage方法。

調(diào)用postMessage方法的window對(duì)象是指要接收消息的那一個(gè)window對(duì)象，

• 該方法的第一個(gè)參數(shù)message為要發(fā)送的消息，類(lèi)型只能為字符串
• 第二個(gè)參數(shù)targetOrigin用來(lái)限定接收消息的那個(gè)window對(duì)象所在的域，如果不想限定域，可以使用通配符*。

需要接收消息的window對(duì)象，可是通過(guò)監(jiān)聽(tīng)自身的message事件來(lái)獲取傳過(guò)來(lái)的消息，消息內(nèi)容儲(chǔ)存在該事件對(duì)象的data屬性中。

上面所說(shuō)的向其他window對(duì)象發(fā)送消息，其實(shí)就是指一個(gè)頁(yè)面有幾個(gè)框架的那種情況，因?yàn)槊恳粋€(gè)框架都有一個(gè)window對(duì)象。在討論第二種方法的時(shí)候，我們說(shuō)過(guò)，不同域的框架間是可以獲取到對(duì)方的window對(duì)象的，而且也可以使用window.postMessage這個(gè)方法。

下面看一個(gè)簡(jiǎn)單的示例，有兩個(gè)頁(yè)面，

<!-- 這是頁(yè)面http://test.com/a.html的代碼 -->
<script>
    function onLoad() {
        var iframe = document.getElementById('iframe');
        var win = iframe.window;
        // 向不同域的"http://www.test.com/b.html"頁(yè)面發(fā)送消息
        win.postMessage('我是來(lái)自頁(yè)面a的消息', '*');
    }
</script>
<iframe id="iframe" src="http://www.test.com/b.html" rel="external nofollow"  onload="onLoad()"></iframe>

<!-- 這是頁(yè)面http://www.test.com/b.html的代碼 -->
<script>
    window.onmessage = function(e) { // 注冊(cè)message時(shí)間來(lái)接受消息
        e = e || event;
        alert(e.data);
    };
</script>

b頁(yè)面將會(huì)成功的收到消息。

使用postMessage來(lái)跨域傳送數(shù)據(jù)還是比較直觀和方便的，但是缺點(diǎn)是IE6、IE7不支持，所以用不用還得根據(jù)實(shí)際需要來(lái)決定。

總結(jié)

除了以上幾種方法外，還有flash、在服務(wù)器上設(shè)置代理頁(yè)面等跨域方式，這里就不做介紹了。

以上四種方法，可以根據(jù)項(xiàng)目的實(shí)際情況來(lái)進(jìn)行選擇應(yīng)用，個(gè)人認(rèn)為window.name的方法既不復(fù)雜，也能兼容到幾乎所有瀏覽器，這真是極好的一種跨域方法。