Javascript:跨域问题

Posted on | In
jsonp是否支持post?其实jsonp是只支持get跨域的,不支持post形式,同源策略的基本原理是允许跨域写但是不支持跨域读,其实post是一种跨域写的形式

  1. 跨域是否支持post?

  2. jsonp的原理是什么?为什么有src能力的标签支持跨域?

  3. ajax是否支持post?

  4. form支持post的原理?

  5. 代理服务器。websocked等有什么新技术支持跨域?

概念理解:

同源策略:same-orgin policy

同源策略为了保证web安全所提出的一个策略

在同一个域名下,浏览器允许第一个页面的scripts访问第二个页面的数据

跨域网络访问

同源策略控制了不同源之间的交互,例如在使用XMLHttpRequest 或 标签时则会受到同源策略的约束。

交互通常分为三类:

    通常允许进行跨域写操作(Cross-origin writes)。
    //例如链接(links),重定向以及表单提交。特定少数的HTTP请求需要添加 preflight。

    通常允许跨域资源嵌入(Cross-origin embedding)。
    //之后下面会举例说明。

    通常不允许跨域读操作(Cross-origin reads)。但常可以通过内嵌资源来巧妙的进行读取访问。
    //例如可以读取嵌入图片的高度和宽度,调用内嵌脚本的方法,
    //或availability of an embedded resource.

以下是一些可以跨域内嵌的资源示例:

    <script src="..."></script>标签嵌入跨域脚本    //语法错误信息只能在同源脚本中捕捉到。

    <link rel="stylesheet" href="...">标签嵌入CSS
    //由于CSS的松散的语法规则,CSS的跨域需要一个设置正确的Content-Type消息头。
    //不同浏览器有不同的限制: IE, Firefox, Chrome, Safari (跳至CVE-2010-0051)部分 和 Opera。

    <img>嵌入图片。
    //支持的图片格式包括PNG,JPEG,GIF,BMP,SVG,...

    <video>  <audio>嵌入多媒体资源。

    <object>, <embed>  <applet>的插件。

    @font-face引入的字体。
    //一些浏览器允许跨域字体( cross-origin fonts),一些需要同源字体(same-origin fonts)。

    <frame>  <iframe>载入的任何资源。
    //站点可以使用X-Frame-Options消息头来阻止这种形式的跨域交互。
实现跨域访问

使用CORS 来实现跨域访问。

阻止跨域访问
    1. 阻止跨域写操作,只要检测请求中的一个不可测的标记(CSRF token)即可,
    这个标记被称为Cross-Site Request Forgery (CSRF) 标记。
    必须使用这个标记来阻止页面的跨站读操作。

    2. 阻止资源的跨站读取,需要保证该资源是不可嵌入的。
    阻止嵌入行为是必须的,因为嵌入资源通常向其暴露信息。

    3. 阻止跨站嵌入,确保你得资源不能是以上列出的可嵌入资源格式。
    多数情况下浏览器都不会遵守Conten-Type消息头。
    例如,如果你在<script>标签中嵌入HTML文档,浏览器仍将HTML解析为Javascript
    When your resource is not an entry point to your site, 
    you can also use a CSRF token to prevent embedding.
跨域脚本API访问

Javascript的APIs中, 如 iframe.contentWindow, window.parent, window.open 和 window.opener 允许文档间直接相互引用。 当两个文档的源不同时,这些引用方式将对 Window 和 Location对象的访问添加限制。 可以使用window.postMessage 作为替代方案,提供跨域文档间的通讯。

跨域数据存储访问

存储在浏览器中的数据,如localStorage和IndexedDB,以源进行分割。 每个源都拥有自己单独的存储空间,一个源中的Javascript脚本不能对属于其它源的数据进行读写操作。 window.name属性可以用来临时存储数据,可以跨域访问。

Cookies使用不同的源定义方式。 一个页面可以为本域和任何父域设置cookie,只要是父域不是公共后缀(public suffix)即可。 Firefox和Chrome使用Public Suffix List决定一个域是否是一个公共后缀(public suffix)。 不管使用哪个协议(HTTP/HTTPS)或端口号, 浏览器都允许给定的域以及其任何子域名(sub-domains)来访问cookie。 设置cookie时,你可以使用Domain,Path,Secure,和Http-Only标记来限定其访问性。 读取cookie时,不会知晓它的出处。尽管使用安全的https连接,任何可见的cookie都是使用不安全的连接设置的。