window.name-跨域

# cross-domain #### 什么是跨域请求简单来说，当一台服务器资源从另一台服务器（不同的域名或者端口）请求一个资源时，就会发起一个跨域 HTTP 请求。举个简单的例子，这个 HTML 页面请求了这个图片资源时（发起 Ajax 请求，非标签），就是发起了一个跨域请求。在不做任何处理的情况下，这个跨域请求是无法被成功请求的，因为浏览器基于同源策略会对跨域请求做一定的限制 ![](https://651162445-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LNNoIC5xYQ16cVjRA3y%2F-LVauXtC8r3Pj9FXIgZM%2F-LVau_j2fZbH_nK9LzFD%2Fcrossdomain-9.png?generation=1546841131359594\&alt=media) #### 浏览器同源策略浏览器的同源策略（Same-origin policy），同源策略限制了从同一个源加载的文档或者脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制同源需要同时满足三个条件： 1. 协议（例如同为http协议） 2. 域名（例如同为www\.example.com） 3. 端口（例如同为80端口）如果不同时满足这上面三个条件，那就不符合浏览器的同源策略 **必须是域名完全相同，比如说`blog.example.com`和`mail.example.com`这两个域名，虽然它们的顶级域名和二级域名（均为 example.com）都相同，但是三级域名（blog 和 mail）不相同，所以也不能算作域名相同** **修改域名只能往上修改** ```javascript //from blog.example.com -> example.com document.domain = 'example.com' //不能修改成foo.com,因不是 `blog.example.com`的超级域 ``` **例外** 下面两种交互就不会触发同源策略： * 跨域写操作（Cross-origin writes），例如超链接、重定向以及表单的提交操作，特定少数的`HTTP`请求需要添加预检请求（preflight） * 跨域资源嵌入（Cross-origin embedding） * ` ``` ```html ``` chrome打印信息 ![](https://651162445-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LNNoIC5xYQ16cVjRA3y%2F-LVauXtC8r3Pj9FXIgZM%2F-LVau_jYvYexQ9pyh45u%2Fcrossdomain-8.png?generation=1546841130764820\&alt=media) 成功获取非同源数据，将非同源地址嵌入获取数据页面窗口 **window\.name** 在客户端浏览器中每个页面都有一个独立的窗口对象window，默认情况下window\.name为空，在窗口的生命周期中，载入的所有页面共享一个window\.name并且每个页面都有对此读写的权限，window\.name会一直存在当前窗口，但存储的字符串不超过2M ```html //http://localhost:8383/ccy_client/window_name.html window.name-跨域 ``` ```html //http://localhost:9393/ccy_server/window_name.html window.name-跨域 ``` chrome打印信息 ![](https://651162445-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LNNoIC5xYQ16cVjRA3y%2F-LVauXtC8r3Pj9FXIgZM%2F-LVau_jSZJqV4K5sokH5%2Fcrossdomain-6.png?generation=1546841130860106\&alt=media) 上面是以window\.location跳转的方式获取window\.name字符串信息，平时开发中经常需要异步获取 ```html window.name-跨域 ``` ```html window.name-跨域 ``` chrome打印信息 ![](https://651162445-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LNNoIC5xYQ16cVjRA3y%2F-LVauXtC8r3Pj9FXIgZM%2F-LVau_jVYMr2zDPZcMcB%2Fcrossdomain-7.png?generation=1546841130426835\&alt=media) 成功获取非同源地址的数据信息，主要是通过iframe的src属性，类似含有src属性的标签都可以成功处理跨域问题img,script **location.hash** * 路径后面的hash可以用来通信 * 目的a访问c * a给c传个hash，c收到hash后，c把新的ash传递给b，b将结果放到a的hash中 `window.parent.parent.location.hash` **document.domain** **这种方式只适合主域名相同，但子域名不同的iframe跨域** 实现原理：两个页面都通过js强制设置document.domain为基础主域，就实现了同域。 ```javascript //http://www.a.com/a.html ``` ```javascript //http://www.child.a.com/b.html ``` **Web Socket** ```html //front ``` ```javascript //backend const WebSocket = require('ws') let wss = new WebSocket.Server({port:3000}) wss.on('connection', (ws) => { ws.on('message', (data) => { console.log(data) ws.send('from backend') }) }) ``` **nginx代理跨域** 配置之后就不需要前端做什么修改了，一般我们在前后端分离项目中开发阶段会采用这种方式，但不是所有场景都能这样做，例如后端接口是一个公共的API，比如一些公共服务获取天气什么的 ```properties server{ # 监听8080端口 listen 8080; # 域名是localhost server_name localhost; #凡是localhost:8080/api这个样子的，都转发到真正的服务端地址http://www.b.com:8080 location ^~ /api { proxy_pass http://www.b.com:8080; } //~忽略大小写其它是正则 location ~.*\.json { root json; add_header "Access-Control-Allow-Origin" "*"; } } ``` #### 常见跨域问题 ![](https://651162445-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LNNoIC5xYQ16cVjRA3y%2F-LfEGfCxRAYdTOi20MqV%2F-LPYtbR_Ig_Wx7D15_PA%2Fajax-1.png?generation=1558255717630220\&alt=media) > 后端允许OPTIONS请求 ![](https://651162445-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LNNoIC5xYQ16cVjRA3y%2F-LfEGfCxRAYdTOi20MqV%2F-LPYtbRcnpqGt3JandNA%2Fajax-2.png?generation=1558255720459562\&alt=media) > 后台方法允许OPTIONS请求,但是一些配置文件中(如安全配置),阻止了OPTIONS请求，后端关闭对应安全配置 ![](https://651162445-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LNNoIC5xYQ16cVjRA3y%2F-LfEGfCxRAYdTOi20MqV%2F-LPYtbRe1Iu0duCM_wrb%2Fajax-3.png?generation=1558255701469196\&alt=media) > 后端增加对应的头部支持 ![](https://651162445-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LNNoIC5xYQ16cVjRA3y%2F-LfEGfCxRAYdTOi20MqV%2F-LPYtbRgwWV7c40GfCE6%2Fajax-4.png?generation=1558255714535983\&alt=media) > 响应头重复