Javascript 规避同一原产地政策的方法 同一原产地政策
我想制作一个关于HTML/JS同源策略的社区wiki,希望能帮助搜索此主题的任何人。这是SO上搜索最多的主题之一,并且没有统一的wiki,因此我决定:) 同一原产地政策可防止 从一个数据库加载的文档或脚本 起源于获得或设置 来自另一个文档的文档属性 起源。这项政策一直沿用至今 回到Netscape Navigator 2.0 您最喜欢采用哪些方法来执行相同的原产地政策?Javascript 规避同一原产地政策的方法 同一原产地政策,javascript,ajax,same-origin-policy,Javascript,Ajax,Same Origin Policy,我想制作一个关于HTML/JS同源策略的社区wiki,希望能帮助搜索此主题的任何人。这是SO上搜索最多的主题之一,并且没有统一的wiki,因此我决定:) 同一原产地政策可防止 从一个数据库加载的文档或脚本 起源于获得或设置 来自另一个文档的文档属性 起源。这项政策一直沿用至今 回到Netscape Navigator 2.0 您最喜欢采用哪些方法来执行相同的原产地政策? 请保持示例的详细性,最好同时链接您的源代码。个人而言,窗口。postMessage是我为现代浏览器找到的最可靠的方式。您确实需
请保持示例的详细性,最好同时链接您的源代码。个人而言,
窗口。postMessage
是我为现代浏览器找到的最可靠的方式。您确实需要做更多的工作来确保自己不会受到XSS攻击,但这是一个合理的权衡
还有一些流行的Javascript工具包插件,它们包装了window.postMessage,使用上面讨论的其他方法为旧浏览器提供了类似的功能。反向代理方法
- 方法类型:Ajax
ProxyPass
。它通常使用如下:
ProxyPass /ajax/ http://other-domain.com/ajax/
在这种情况下,浏览器将能够请求/ajax/web_service.xml
作为相对URL,但服务器将充当http://other-domain.com/ajax/web_service.xml
这种方法的一个有趣的特性是,反向代理可以很容易地将请求分发到多个后端,从而充当一个代理 我使用JSONP
基本上,你加上
<script src="http://..../someData.js?callback=some_func"/>
在你的页面上
应该调用some_func(),以便通知您数据在document.domain
方法中
- 方法类型:iframe
http://store.company.com/dir/other.html
执行以下语句:
document.domain = "company.com";
执行该语句后,页面将通过http://company.com/dir/page.html
。然而,根据同样的推理,company.com无法将document.domain
设置为othercompany.com
使用此方法,您可以从源于主域的页面上的子域上的iframe执行javascript。此方法不适用于跨域资源,因为Firefox等浏览器不允许您将document.domain
更改为完全陌生的域
资料来源:
跨源资源共享方法
- 方法类型:AJAX
GET
或POST
且没有自定义标题且其正文为text/plain
,请求将与一个名为Origin
的额外标题一起发送。Origin标头包含请求页面的来源(协议、域名和端口),以便服务器可以轻松确定是否应提供响应。示例Origin
标题可能如下所示:
Origin: http://www.stackoverflow.com
如果服务器决定应该允许该请求,它将发送一个访问控制允许源
头,回显已发送的相同源或*
(如果是公共资源)。例如:
Access-Control-Allow-Origin: http://www.stackoverflow.com
如果缺少此标头,或者来源不匹配,则浏览器不允许该请求。如果一切正常,浏览器将处理该请求。请注意,请求和响应都不包含cookie信息
Mozilla团队建议您检查with credentials
属性是否存在,以确定浏览器是否通过XHR支持CORS。然后,您可以与XDomainRequest
对象结合使用,以覆盖所有浏览器:
function createCORSRequest(method, url){
var xhr = new XMLHttpRequest();
if ("withCredentials" in xhr){
xhr.open(method, url, true);
} else if (typeof XDomainRequest != "undefined"){
xhr = new XDomainRequest();
xhr.open(method, url);
} else {
xhr = null;
}
return xhr;
}
var request = createCORSRequest("get", "http://www.stackoverflow.com/");
if (request){
request.onload = function() {
// ...
};
request.onreadystatechange = handler;
request.send();
}
请注意,要使CORS方法工作,您需要访问任何类型的服务器头机制,并且不能简单地访问任何第三方资源
资料来源:
window.postMessage
方法
- 方法类型:iframe
window.postMessage
调用时,当任何必须执行的挂起脚本完成时,导致在目标窗口调度MessageEvent
(例如,如果window.postMessage
是从事件处理程序调用的,以前设置的挂起超时等,则剩余的事件处理程序)。MessageEvent
具有message类型,这是一个data
属性,设置为提供给窗口的第一个参数的字符串值。postMessage
,一个origin
属性,对应于调用window.postMessage
时调用window.postMessage
窗口中主文档的来源,以及一个source
属性,该属性是调用window.postMessage
的窗口
要使用window.postMessage
,必须附加事件侦听器:
// Internet Explorer
window.attachEvent('onmessage',receiveMessage);
// Opera/Mozilla/Webkit
window.addEventListener("message", receiveMessage, false);
并且必须声明receiveMessage
函数:
function receiveMessage(event)
{
// do something with event.data;
}
<script>window.parent.postMessage('foo','*')</script>
<?php
$curl = curl_init();
$timeout = 30;
$ret = "";
$url="http://localhost:82/put_val?val=".$_GET["val"];
curl_setopt ($curl, CURLOPT_URL, $url);
curl_setopt ($curl, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt ($curl, CURLOPT_MAXREDIRS, 20);
curl_setopt ($curl, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($curl, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5");
curl_setopt ($curl, CURLOPT_CONNECTTIMEOUT, $timeout);
$text = curl_exec($curl);
echo $text;
?>
function getdata(obj1, obj2) {
var xmlhttp;
if (window.XMLHttpRequest)
xmlhttp=new XMLHttpRequest();
else
xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
xmlhttp.onreadystatechange=function()
{
if (xmlhttp.readyState==4 && xmlhttp.status==200)
{
document.getElementById("txtHint").innerHTML=xmlhttp.responseText;
}
}
xmlhttp.open("GET","phpURLFile.php?eqp="+obj1+"&val="+obj2,true);
xmlhttp.send();
}
$.getJSON('http://anyorigin.com/get?url=google.com&callback=?', function(data){
$('#output').html(data.contents);
});