3. 利用flash实现跨域HTTP请求
据称,flash在浏览器中的普及率高达90%以上。
flash代码和JavaScript代码之间可以互相调用,并且flash的“安全沙箱”机制与JavaScript的安全机制并不尽相同,因此,我们可以利用flash来实现跨域提交HTTP请求(支持GET/POST等)。
例如,我们用浏览器访问这个页面,在这个页面中引用了这个flash文件,然后在flash代码中向发送HTTP请求。
这个请求能否被成功发送,取决于在example3.com的根路径下是否放置了一个crossdomain.xml以及这个crossdomain.xml的配置如何。flash的“安全沙箱”会保证:仅当example3.com服务器在根路径下确实放置了crossdomain.xml文件并且在这个文件中配置了允许接受来自example2.com的flash的请求时,这个请求才能真正成功。下面是一个crossdomain.xml文件内容的例子:
复制代码 代码如下:
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="example2.com" />
</cross-domain-policy>
4. window.postMessage
window.postMessage是HTML标准的下一个版本HTML5支持的一个新特性。受当前互联网技术突飞猛进的影响,浏览器跨域通信的需求越来越强烈,HTML标准终于把跨域通信考虑进去了。但目前HTML5仍然只是一个draft。
window.postMessage是一个安全的实现直接跨域通信的方法。但是目前并不是所有浏览器都能支持,只有Firefox 3、Safari 4和IE8可以支持这个调用。
使用它向其它窗口发送消息的调用方式大概如下:
复制代码 代码如下:
otherWindow.postMessage(message, targetOrigin);
在接收的窗口,需要设置一个事件处理函数来接收发过来的消息:
复制代码 代码如下:
window.addEventListener("message", receiveMessage, false);
function receiveMessage(event) {
if (event.origin !== "http://example.org:8080") return;
}
消息包含三个属性:data、origin(携带发送窗口所在域的真实信息)和source(代表发送窗口的handle)。
安全性考虑:使用window.postMessage,必需要使用消息的origin和source属性来验证发送者的身份,否则会造成XSS漏洞。
window.postMessage在功能上同iframe实现的跨域功能同样强大,并且使用简单,效率更高,但缺点是它目前在浏览器兼容方面有待提高。
需要对原文补充的是,在IE6,IE7下可利用IE的Opener可赋值为Object或Function的漏洞,提供postMessage方案的补充方案:
主页面:
复制代码 代码如下:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>CrossDomain</title>
</head>
<body>
<iframe src="https://sh-tanzhenlin/CrossDomain-child.html"
frameborder="0" visible="false"></iframe>
<script type="text/javascript">
var child = document.getElementById("ifrChild");
var openerObject = {
funcInParent:function(arg){
alert(arg);
alert('executed by a function in parent page');
}
}
if(!+'\v1' && !'1'[0]){ //test browser is ie6 or ie7
//crack
child.contentWindow.opener = openerObject;
}
else{
//postMessage showtime
}
function onClick(){
//debugger;
openerObject.funcInIframe('data from parent page ');
}
</script>
<input type="button" value="click me" />
</body>
</html>
用iframe内嵌其它域下的页面:
复制代码 代码如下: