前端跨域的6种方式

同源策略

• 浏览器对不同源的脚本或者文本的访问方式进行的限制，就是一种浏览器的安全机制。
• 同源：相同的协议、域名、端口号
  同源策略限制的不同源之间的交互主要针对的是js中的XMLHttpRequest等请求

跨域

• 前置条件是我们在WEB服务器或者服务端脚本中设置ACCESS-CONTROL-ALLOW-ORIGIN头部，如果设置了这些头部并允许某些域名跨域访问，则浏览器就会跳过同源策略的限制返回对应的内容。

---

1.JSONP （需要后台配合）------(向后台请求数据的跨域)

• jsonp的原理：
  1.通过动态插入
  1. 简述原理与过程：首先在客户端注册一个callback, 然后把callback的名字传给服务器。此时，服务器先生成 json 数据。 然后以 javascript 语法的方式，生成一个function , function 名字就是传递上来的参数 jsonp。最后将 json 数据直接以入参的方式，放置到 function 中，这样就生成了一段 js 语法的文档，返回给客户端。
  2. 客户端浏览器，解析script标签，并执行返回的 javascript 文档，此时数据作为参数，传入到了客户端预先定义好的 callback 函数里。（动态执行回调函数）

  • jsonp的特点：
    1.jsonp是通过script的src属性去加载跨域资源的，所以jsonp请求都是get请求
    2.get系有的特点jsonp都有
    3.所有的jspon接口必须含有一个jsonpCallback，否则不是合法的接口
    4.所有的jsonp接口必须按照固定的格式返回 functionName(/* jsonData */)

    原生封装

    //jsonpcallback ---后台执行的函数名，一个字符串
    //callback---前端执行的函数
    (function(){
      var count=1;//使每次的cbName都不重复
      this.jsonp=function (url,data,jsonpcallback,callback){
        var cbName='cb'+count++;//构造全局函数名
        var callbackName='window.jsonp.'+cbName;//函数是全局的
        window.jsonp[cbName]=function(data){
          try{
            callback(data);
          }
          script.parentNode.removeChild('script');
          delete window.jsonp[cbName]//执行完就清除
        }
        var src=tools.padStringToURL(url,data);//向url后面拼接参数
        src=tools.padStringToURL(src,jsonpcallback+'='+callbackName);
        var script=document.creatElement('script');//生成script标签
        script.src=src;
      }
      var tools={
        padStringToURL：function(url,param){
          var param=this.encodeToURIString(param);
          if(!param)return;
          return /\?/.test(url)?url+'&'+param:url+'?'+param
        },
        encodeToURIString:function(data){
          if(!data)return;
          if(typeof data==='string'){
            return data;
          }
          var ary=[];
          for(var n in data){
            if(data.hasOwnProperty(n)){
              ary.push(encodURIComponent(n)+'='+encodURIComponent(data[n]));
            }
          }
          return ary.join('&')//将每组键值对用&连接
        }
      }
    })()
    jsonp("http://suggestion.baidu.com/su", {wd: word}, "cb", function (data) {
              console.log(data)
          })
    
    

    jquery的JSONP

    $.ajax({
      async:false,
      url: 'http://跨域的dns/document!searchJSONResult.action',
      type: "GET",
      dataType: 'jsonp',
      jsonp: 'jsoncallback',
      data: qsData,
      timeout: 5000,
      beforeSend: function(){
          //jsonp 方式此方法不被触发.原因可能是dataType如果指定为jsonp的话,就已经不是ajax事件了
      },
      success: function (json) {//客户端jquery预先定义好的callback函数,成功获取跨域服务器上的json数据后,会动态执行这个callback函数
          if(json.actionErrors.length!=0){
              alert(json.actionErrors);
          }
          genDynamicContent(qsData,type,json);
      },
      complete: function(XMLHttpRequest, textStatus){
          $.unblockUI({ fadeOut: 10 });
      },
      error: function(xhr){
          //jsonp 方式此方法不被触发.原因可能是dataType如果指定为jsonp的话,就已经不是ajax事件了
          //请求出错处理
          alert("请求出错(请检查相关度网络状况.)");
      }
    });
    
    

    es6+promise封装JSONP

    /**
    url:是接口
    params:是参数
    cb:是全局下回调函数名，后台返回 cb(data) ,相当于执行了cb函数，那么客户    端就可以在函数中任意操作data了
    **/
    function jsonp({url,params,cb}){
      return new Promise((resolve,reject)=>{
         let script = document.createElement('script');
         params={...params,cb};
         let arrs = [];
         for(let key in params){
           arrs.push(`${key}=${params[key]}`);
         }
         script.src = `${url}?${arrs.join('&')}`;
         document.body.appendChild(script);
         window[cb] = function (data) {
           resolve(data);
           document.body.removeChild(script);
         }
      })
    };
    jsonp({url:'XXX',data:'XXXX',cb:'XXX'}).then(console.log(data))
    
    

  2.Proxy代理 ：（接口的临时代理，解决跨域）

  https://www.jianshu.com/p/0c301c46685b

  3.cors（兼容性IE8以上，跨域请求数据的方式 ）

  利用浏览器提供的跨域API实现跨域请求

  • 注意
    1.需要服务端设置响应首部Access-Control-Allow-Origin
    2.可以使用get、post、head、delete、put、options这些http方法

  var getCors=function(){
    if(window.XDomainRequest){
      return new XDomainRequest();
    }
    if(window.XMLHttpRequest){
      var xhr=new XMLHttpRequest();
      if(xhr.withCredentials!==void 0){
        return xhr;
      }
      throw new Error('不支持cors')
    }
     throw new Error('不支持cors')
  }
  var cors=getCors();
  cors.open('post','urlname.....',false);
  cors.onload=function(){
    if(cors.state==200){
      cors.responseText//拿到返回值
    }
  }
  cors.send(data);
  

  cors的jq用法

  $.ajax({
    url:'',
    data:'',
    dataType:'返回的数据类型',
    corssDomain:true，
    success:function(data){
      console.log(data)
    }
  })
  

  ---

  4.document.domain + iframe （能力有限:同一网站的二级页面之间数据传递）

  前提条件：这两个域名必须属于同一个基础域名!而且所用的协议，端口都要一致，否则无法利用document.domain进行跨域

  • eg : www.baidu.com是当前的域名，而baidu.com是基础域名。

  有另一种情况，两个子域名：

  • aaa.xxx.com
  • bbb.xxx.com

  可以通过Javascript，将两个页面的domain改成一样的，
  需要在a.html里与b.html里都加入：
  document.domain = "xxx.com";
  这样这两个页面就可以互相操作了。也就是实现了同一基础域名之间的"跨域"。

  只要能将document.domain改成一样的就可以跨域

  关于iframe

  一、在使用iframe的页面，要操作这个iframe里面的DOM元素可以用：

  • contentWindow、contentDocument
    获取iframe里面的window对象，再通过这个对象，获取到里面的DOM元素
    例子：

  var ifr = document.getElementById("iframe");
  ifr.contentWindow.document.getElementById("XXXXX")
  

  二、在iframe本页面，要操作这个iframe的父页面的DOM元素（即嵌套这个iframe的页面）可以用：

  • window.parent、window.top

  var ifr = document.getElementByTagName("iframe");
  ifr.parent.document.getElementById("XXXXX")
  

  5.postMessage（HTML5中的XMLHttpRequest Level 2中的API实现页面件的数据传递）

  • 在发送数据窗口执行：otherWindow.postMessage(msg,origin)

  1. otherWindow:表示接受数据的窗口的window对象，包括iframe的contentWindw和通过window.open打开的新窗口。
  2. data表示要发送的数据，包扩字符串和对象(ie9以下不支持，可以利用字符串和json互换)。
  3. origin表示接收的域名。

  var win = iframe.contentWindow||其他的window对象;  
  win.postMessage(data,'http://wozien.com'); //发送数据data给http://wozien.com
  window.onmessage = function (e) {
          console.log(e.data);//拿到数据：回给你
        }
  

  • 在接受的窗口监听window的message事件，回掉函数参数接受一个事件对象event，包括的属性有：

  1. data：接受的数据
  2. origin：发送端的域
  3. source：发送端的DOMWindow对象

  window.onmessage = function(e){  
      if(e.origin !== 'http://localhost') return;  //判断是否可信任
      console.log(e.origin+' '+e.data);  //拿到数据
      e.source.postMessage('回给你',e.origin)
  }  
  

  6.web sockets：（只有在支持web socket协议的服务器上才能正常工作，与http的长连接的区别是：这个协议是双向的）

  • websocket约定了一个通信的规范，通过一个握手的机制，客户端（浏览器）和服务器（webserver）之间能建立一个类似tcp的连接，从而方便c－s之间的通信

  客户端：

  user input：
  
  
  

  node端：

  var http = require('http');
  var socket = require('socket.io');
  
  // 启http服务
  var server = http.createServer(function(req, res) {
      res.writeHead(200, {
          'Content-type': 'text/html'
      });
      res.end();
  });
  
  server.listen('8080');
  console.log('Server is running at port 8080...');
  
  // 监听socket连接
  socket.listen(server).on('connection', function(client) {
      // 接收信息
      client.on('message', function(msg) {
          client.send('hello：' + msg);
          console.log('data from client: ---> ' + msg);
      });
  
      // 断开处理
      client.on('disconnect', function() {
          console.log('Client socket has closed.'); 
      });
  });