资讯专栏INFORMATION COLUMN

Http同源限制

Acceml / 2058人阅读

摘要:协议相同域名相同端口相同目的同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。因为浏览器同时还规定,提交表单不受同源政策的限制。同源除了架设服务器代理浏览器请求同源服务器,再由后者请求外部服务,有三种方法规避这个限制。

同源
Cookic
Document.cookic
Http返回

1.概述
1.1含义
1.2目的
1.3限制范围
2.Cookie 同源
3.iframe 和多窗口通信
3.1片段识别符 # 穿数据 父子窗口
3.2window.postMessage()可不同 父子窗口
3.3LocalStorage 同源父子窗口
4.AJAX 服务器和客户端之间
4.1JSONP 在script标签加callback 参数就是数据体 Get
4.2WebSocket
4.3CORS
参考链接

domcument.domain

1.概述 1.1含义

A 网页设置的 Cookie,B 网页不能打开,除非这两个网页“同源”。所谓“同源”指的是“三个相同”。

协议相同

域名相同

端口相同

1.2目的

同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。

设想这样一种情况:A 网站是一家银行,用户登录以后,A 网站在用户的机器上设置了一个 Cookie,包含了一些隐私信息(比如存款总额)。用户离开 A 网站以后,又去访问 B 网站,如果没有同源限制,B 网站可以读取 A 网站的 Cookie,那么隐私信息就会泄漏。
更可怕的是,Cookie 往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。
因为浏览器同时还规定,提交表单不受同源政策的限制。

1.3限制范围

1.无法读取非同源cookic.localstorage,indexesDB
.2.无法读取dom

无法向非同源地址发送 AJAX 请求(可以发送,但浏览器会拒绝接受响应)。

另外,通过 JavaScript 脚本可以拿到其他窗口的window对象。如果是非同源的网页,目前允许一个窗口可以接触其他网页的window对象的九个属性和四个方法。

window.closed
window.frames
window.length
window.location
window.opener
window.parent
window.self
window.top
window.window
window.blur()
window.close()
window.focus()
window.postMessage()

上面的九个属性之中,只有window.location是可读写的,其他八个全部都是只读。而且,即使是location对象,非同源的情况下,也只允许调用location.replace方法和写入location.href属性

2.Cookie 同源

次级域名不同的,可以改相同document.domain来共享cookic

举例来说,A 网页的网址是http://w1.example.com/a.html,B 网页的网址是http://w2.example.com/b.html,那么只要设置相同的document.domain

注意,A 和 B 两个网页都需要设置document.domain属性,才能达到同源的目的。因为设置document.domain的同时,会把端口重置为null,因此如果只设置一个网页的document.domain,会导致两个网址的端口不同,还是达不到同源的目的

注意,这种方法只适用于 Cookie 和 iframe 窗口,LocalStorage 和 IndexedDB 无法通过这种方法,规避同源政策,而要使用下文介绍 PostMessage API

3.iframe 和多窗口通信

Iframe用于在页面中嵌入页面,每个iframe形成自己的窗口。自己的windom对象。

iframe窗口之中的脚本,可以获得父窗口和子窗口。
但是,只有在同源的情况下,父窗口和子窗口才能通信;如果跨域,就无法拿到对方的 DOM

document
.getElementById("myIFrame")
.contentWindow
.document
// Uncaught DOMException: Blocked a frame from accessing a cross-origin frame.
上面命令中,父窗口想获取子窗口的 DOM,因为跨域导致报错。

反之亦然,子窗口获取主窗口的 DOM 也会报错。

window.parent.document.body
// 报错

对于完全不同源的网站,目前有两种方法,可以解决跨域窗口的通信问题。

片段识别符(fragment identifier)
跨文档通信API(Cross-document messaging)

3.1片段识别符 # 传数据

Url#后面的

如果只是改变片段标识符,页面不会重新刷新。

父窗口可以把信息,写入子窗口的片段标识符。

var src = originURL + "#" + data;
document.getElementById("myIFrame").src = src;

window.onhashchange = checkMessage;

function checkMessage() {
var message = window.location.hash;
// ...
}
同样的,子窗口也可以改变父窗口的片段标识符。

parent.location.href = target + "#" + hash;

3.2window.postMessage()可不同

举例来说,父窗口aaa.com向子窗口bbb.com发消息,调用postMessage方法就可以了

// 父窗口打开一个子窗口
var popup = window.open("http://bbb.com", "title");
// 父窗口向子窗口发消息
popup.postMessage("Hello World!", "http://bbb.com");
postMessage方法的第一个参数是具体的信息内容,第二个参数是接收消息的窗口的源(origin),即“协议 + 域名 + 端口”。也可以设为*,表示不限制域名,向所有窗口发送。

子窗口向父窗口发送消息的写法类似。

// 子窗口向父窗口发消息
window.opener.postMessage("Nice to see you", "http://aaa.com");

父窗口和子窗口都可以通过message事件,监听对方的消息。

// 父窗口和子窗口都可以用下面的代码,
// 监听 message 消息
window.addEventListener("message", function (e) {
console.log(e.data);
},false);
message事件的参数是事件对象event,提供以下三个属性。

event.source:发送消息的窗口
event.origin: 消息发向的网址
event.data: 消息内容

下面的例子是,子窗口通过event.source属性引用父窗口,然后发送消息。

window.addEventListener("message", receiveMessage);
function receiveMessage(event) {
event.source.postMessage("Nice to see you!", "*");
}

3.3LocalStorage 同源 4.AJAX

除了架设服务器代理(浏览器请求同源服务器,再由后者请求外部服务),有三种方法规避这个限制。

4.1.JSONP

第一步,网页添加一个
注意,请求的脚本网址有一个callback参数(?callback=bar),用来告诉服务器,客户端的回调函数名称(bar)。

第二步,服务器收到请求后,拼接一个字符串,将 JSON 数据放在函数名里面,作为字符串返回(bar({...}))。

第三步,客户端会将服务器返回的字符串,作为代码解析,因为浏览器认为,这是

阅读需要支付1元查看
<