老生常谈的跨域处理(2)

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。它为Web服务器定义了一种方式，允许网页从不同的域访问其资源.

CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 它是一个妥协，有更大的灵活性，但比起简单地允许所有这些的要求来说更加安全。

实现方法：

CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。

整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。

前端方面

以前我们使用Ajax，代码类似于如下的方式：

var xhr = new XMLHttpRequest(); xhr.open("GET", "/hfahe", true); xhr.send(); // 这里的“/hfahe”是本域的相对路径。

如果我们要使用CORS，相关Ajax代码可能如下所示：

var xhr = new XMLHttpRequest(); xhr.open("GET", "http://blog.csdn.net/hfahe", true); xhr.send(); // 请注意，代码与之前的区别就在于相对路径换成了其他域的绝对路径，也就是你要跨域访问的接口地址。

服务器方面

服务器端对于CORS的支持，主要就是通过设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置，就可以允许Ajax进行跨域的访问。

CORS策略的优缺点：

优点：

　1、CORS支持所有类型的HTTP请求。

　2、 使用CORS，开发者可以使用普通的XMLHttpRequest发起请求和获得数据，比起JSONP有更好的错误处理。

缺点： 兼容性方面相对差一点，ie10或以上才支持

3、document.domain+iframe的设置  (只有在主域相同的时候才能使用该方法)

原理：

浏览器中不同域的框架之间是不能进行js的交互操作的。但是不同的框架之间（父子或同辈），是能够获取到彼此的window对象的，但是，我们也只能获取到一个几乎

无用的window对象。比如，有一个页面，它的地址是 ， 在这个页面里面有一个iframe，它的src是 , 很显然，这

个页面与它里面的iframe框架是不同域的，所以我们是无法通过在页面中书写js代码来获取iframe中的东西的。

这个时候，document.domain就可以派上用场了，我们只要把 和  这两个页面的document.domain都设成

相同的域名就可以了。但要注意的是，document.domain的设置是有限制的，我们只能把document.domain设置成自身或更高一级的父域，且主域必须相同。例如：

a.b.example.com 中某个文档的document.domain 可以设成a.b.example.com、b.example.com 、example.com中的任意一个，但是不可以设成 c.a.b.example.com,因为这是

当前域的子域，也不可以设成baidu.com,因为主域已经不相同了。

使用方法：

比如在 的页面里要访问 里面的东西。

在页面 中设置document.domain:

//http://www.example.com/a.html <html> <head> <title>A页面</title> <script type="text/javascript" src="https://www.jb51.net/jquery.js"></script> </head> <body> <div>A页面</div> <iframe src="https://example.com/b.html"></iframe> 　　// 相当于用一个隐藏的iframe来做代理 <script> $(function(){ try{ document.domain = "example.com"; //这里将document.domain设置成一样 }catch(e){} $("#iframe").load(function(){ var iframe = $("#iframe").contentDocument.$; ifram.get("http://example.com/接口",function(data){}); }); }); </script> <body> </html>

在页面 中也设置document.domain，而且这也是必须的，虽然这个文档的domain就是example.com,但是还是必须显示的设置document.domain的值：