JavaScript中的跨域详解（一）

同源策略

所谓的同源策略，指的是浏览器对不同源的脚本或者文本访问方式进行的限制。
所谓同源，就是指两个页面具有相同的协议，主机（也常说域名），端口，三个要素缺一不可。
同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。
如果一个用户在登陆一个网站之后又去访问其他网站，如果其他网站可以读取上一个网站的cookie，就会导致个人信息泄露。

限制范围

随着互联网的发展，"同源政策"越来越严格。目前，如果非同源，共有三种行为受到限制：
1、cookie、localstorage、indexDB(IndexedDB 是一种低级API，用于客户端存储大量结构化数据(包括, 文件/ blobs)。该API使用索引来实现对该数据的高性能搜索。)无法读取
2、DOM无法获得。
3、AJAX请求不能发送。

规避措施

1、cookie

Cookie是服务器写入浏览器的一小段信息，只有同源的网页才能共享，但是两个网页只有一级域名相同，只是二级域名不同，浏览器允许通过设置document.domain共享Cookie。
举例来说，A,http://w1.example.com/a.html B,http://w2.example.com/b.html,那么只要设置相同的document.domain,两个网页就可以共享Cookie。
document.domain='example.com'
A通过脚本设置一个Cookie：document.cookie='text=hello'
B网页就可以读到这个Cookie。var allCookie=document.cookie;

• 这种方法只适用于Cookie和iframe窗口，LocalStorage和IndexDB无法通过这种方法，规避同源政策。需要使用PostMessage API。另外，服务器也可以在设置Cookie的所属域名为一级域名，比如：.example.com。
  
  Set-Cookie：key=value;domain=.example.com; path=/
  
  这样的话，二级域名和三级域名不用做任何设置都可以读取这个Cookie。

2、iframe

如果两个网页不同源，就无法拿到对方的DOM。典型的例子是iframe窗口和window.open方法打开的窗口，他们与父窗口无法通信。
比如，父窗口运行下面的命令，如果iframe不同源就会导致错误，document.getElementById('myIframe').contentWindow.document,上面的命令中，父窗口想获取子窗口的DOM，因为跨源导致报错。反之亦然。
如果两个完全不同源的网站，目前有三种方法，可以解决跨域窗口的通信问题。
1、片段识别符（fragment identifier）
2、window.name
3、跨文档通信API（Cross-document messaging）

• 片段识别符
  
  指的是URL的#号后面的部分，比如 http://example.com/x.html#fragment的#fragment。如果只是改变片段标识符，页面不会重新刷新。父窗口可以把信息，写入子窗口的片段标识符。
  
  var src=originURL+'#'+data;
  
  document.getElementById('myIFrame')
  
  子窗口通过监听hashchange事件得到通知。
  
  window.onhashchange=checkMessage;
  
  function checkMessage(){
  
  var message=window.location.hash;
  
  }
  
  同样的，子窗口也可以改变父窗口的片段标识符。
  
  parent.location.href=target+'#'+data;

• window.name
  
  浏览器窗口有window.name属性，这个属性的最大特点是，无论是否同源，只要在同一个窗口，前一个网页设置了这个属性，后一个网页就可以读取他。
  
  父窗口先打开一个子窗口，载入一个不同源的网页，该网页将信息写入window.name属性。
  
  window.name = data;
  
  接着，子窗口跳回一个与主窗口同域的网址。
  
  location = 'http://parent.url.com/xxx.html';
  
  然后，主窗口就可以读取子窗口的window.name了。
  
  var data = document.getElementById('myFrame').contentWindow.name;
  
  这种方法的优点是，window.name容量很大，可以放置非常长的字符串；缺点是必须监听子窗口window.name属性的变化，影响网页性能。

• window.postMessage
  
  上面两种方法都属于破解，HTML5为了解决这个问题，引入了一个全新的API：跨文档通信 API（Cross-document messaging）。
  
  这个API为window对象新增了一个window.postMessage方法，允许跨窗口通信，不论这两个窗口是否同源。
  
  举例来说，父窗口http://aaa.com向子窗口http://bbb.com发消息，调用postMessage方法就可以了。

  var popup = window.open('http://bbb.com', 'title');
  
  popup.postMessage('Hello World!', 'http://bbb.com');
  
  postMessage方法的第一个参数是具体的信息内容，第二个参数是接收消息的窗口的源（origin），即"协议 + 域名 + 端口"。也可以设为*，表示不限制域名，向所有窗口发送。
  
  子窗口向父窗口发送消息的写法类似。

  window.opener.postMessage('Nice to see you', 'http://aaa.com');
  
  父窗口和子窗口都可以通过message事件，监听对方的消息。

  window.addEventListener('message', function(e) {
  
  console.log(e.data);
  
  },false);
  
  message事件的事件对象event，提供以下三个属性。
  
  event.source：发送消息的窗口
  
  event.origin: 消息发向的网址
  
  event.data: 消息内容
  
  下面的例子是，子窗口通过event.source属性引用父窗口，然后发送消息。

    window.addEventListener('message', receiveMessage);
    function receiveMessage(event) {
      event.source.postMessage('Nice to see you!', '*');
    }

event.origin属性可以过滤不是发给本窗口的消息。

    window.addEventListener('message', receiveMessage);
    function receiveMessage(event) {
      if (event.origin !== 'http://aaa.com') return;
      if (event.data === 'Hello World') {
          event.source.postMessage('Hello', event.origin);
      } else {
        console.log(event.data);
      }
    }

3、LocalStorage

通过window.postMessage，读写其他窗口的 LocalStorage 也成为了可能。
下面是一个例子，主窗口写入iframe子窗口的localStorage。

window.onmessage = function(e) {
  if (e.origin !== 'http://bbb.com') {
    return;
  }
  var payload = JSON.parse(e.data);
  localStorage.setItem(payload.key, JSON.stringify(payload.data));
};

上面代码中，子窗口将父窗口发来的消息，写入自己的LocalStorage。
父窗口发送消息的代码如下。

var win = document.getElementsByTagName('iframe')[0].contentWindow;
var obj = { name: 'Jack' };
win.postMessage(JSON.stringify({key: 'storage', data: obj}), 'http://bbb.com');

加强版的子窗口接收消息的代码如下。

      if (e.origin !== 'http://bbb.com') return;
      var payload = JSON.parse(e.data);
      switch (payload.method) {
        case 'set':
          localStorage.setItem(payload.key, JSON.stringify(payload.data));
          break;
        case 'get':
          var parent = window.parent;
          var data = localStorage.getItem(payload.key);
          parent.postMessage(data, 'http://aaa.com');
          break;
        case 'remove':
          localStorage.removeItem(payload.key);
          break;
      }
    };

加强版的父窗口发送消息代码如下。

    var win = document.getElementsByTagName('iframe')[0].contentWindow;
    var obj = { name: 'Jack' };
    // 存入对象
    win.postMessage(JSON.stringify({key: 'storage', method: 'set', data: obj}), 'http://bbb.com');
    // 读取对象
    win.postMessage(JSON.stringify({key: 'storage', method: "get"}), "*");
    window.onmessage = function(e) {
      if (e.origin != 'http://aaa.com') return;
      // "Jack"
      console.log(JSON.parse(e.data).name);
    };