同源策略和跨域的理解
1、同源策略
同源策略的出现,是为了维护web届各种源(dom等资源)的和平,限制某脚本访问其他域的脚本资源。 比如,一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。
同源概念:
URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。
如http://www.depycode.com 与http://depycode.com 就不同源,因为域名不一样,前者为子域名,后者为顶级域名。
可能很多人想到,为啥页面里可以加载远程的非同源的js、图片等,这就属于特殊情况了。你可以通过img 的src引用远程图片,通过script标签的src加载远程js,这种情况是不受同源策略影响的,可以视为本地资源,即视为同源。 而同源策略主要是限制js(目前主要这样)来读写其他域的dom数据,说白了,就是html。 你也可以这样理解:同源策略只对网页的HTML文档做了限制,对加载的其他静态资源如javascript、css、图片等仍然认为属于同源。
引用别人的一个例子,来说明同源策略的限制:
http://localhost:8080/test.html <html> <head><title>test same origin policy</title></head> <body> <iframe id="test" src="http://localhost:8081/test2.html"></iframe> <script type="text/javascript"> document.getElementById("test").contentDocument.body.innerHTML = "write somthing"; </script> </body> </html> http://localhost:8081/test2.html <html> <head><title>test same origin policy</title></head> <body> Testing. </body> </html>
其中
http://localhost:8080/test.html 与 http://localhost:8081/test2.html 非同源,访问受到了限制。 firefox就会提示: Error: Permission denied to access property 'body'
2、理解跨域:
先说说jsonp。
前面说过script标签的src是可以跨域引用js,把js加载到自己的域中来执行。因此我们可以在引用js的同时提交一些参数,这样B站根据参数做出相应的操作后,将操作的结果写入到js文件中,并返回给A站点,这样A站点就得到了B站点的数据了。
第一框中function是A站在加载完B站数据后执行的函数。第二框是一个DOM中添加一个script标签。因此我们现在有必要看看B站后台是怎么实现的:
重点是要输出要确定Content-Type,然后就是拼凑javascript代码了。
x000s'''