Ringkasan kemahiran JavaScript kaedah merentas domain_javascript

Melakukan pembangunan web selalunya memerlukan anda menghadapi masalah merentas domain Punca masalah merentas domain adalah dasar asal yang sama dalam keselamatan penyemak imbas. html:

1.http://www.a.com/2.html adalah asal yang sama; 2. https://www.a.com/2.html adalah daripada sumber yang berbeza kerana protokol yang berbeza 3. http://www.a.com:8080/2.html adalah daripada sumber yang berbeza kerana portnya berbeza 4. http://sub.a.com/2.html adalah asal yang berbeza kerana hosnya berbeza.

Dalam penyemak imbas, teg , , dan boleh memuatkan sumber merentas domain (bukan asal), dan kaedah pemuatan sebenarnya adalah bersamaan dengan satu permintaan GET biasa. Satu-satunya perbezaan ialah atas sebab keselamatan, penyemak imbas tidak membenarkan operasi membaca dan menulis pada sumber yang dimuatkan dengan cara ini dan hanya boleh menggunakan keupayaan yang sepatutnya ada pada teg itu sendiri (seperti pelaksanaan skrip, gaya. permohonan, dsb.).

Masalah merentas domain yang paling biasa ialah akses merentas domain Ajax Secara lalai, URL merentas domain tidak boleh diakses melalui Ajax. Di sini saya merekodkan kaedah silang domain yang saya pelajari:

1. Proksi sisi pelayan , tiada apa-apa yang boleh dikatakan tentang ini adalah bahawa secara lalai, pelayan yang menerima permintaan Ajax tidak boleh mendapatkan IP dan UA pelanggan.

2. iframe , menggunakan iframe sebenarnya setara dengan membuka halaman web baharu Kaedah merentas domain khusus adalah secara kasarnya halaman induk yang dibuka oleh domain A menempatkan iframe yang menunjuk ke domain B. kemudian menyerahkan Data, selepas selesai, pelayan B boleh:

●Kembalikan respons ubah hala 302 dan ubah hala kembali ke domain A; ●Iframe yang menunjuk ke domain A bersarang di dalam iframe ini. Kedua-duanya akhirnya merealisasikan panggilan merentas domain Kaedah ini lebih berfungsi daripada JSONP yang diperkenalkan di bawah, kerana selepas domain silang selesai, tiada masalah dengan operasi DOM dan panggilan JavaScript antara satu sama lain, tetapi Terdapat juga. beberapa sekatan. Contohnya, keputusan mesti diluluskan dalam parameter URL, yang bermaksud bahawa apabila data hasil adalah besar, ia perlu dipecah dan diluluskan, yang sangat menyusahkan disebabkan oleh iframe itu sendiri, interaksi antara halaman induk dan iframe itu sendiri Terdapat had keselamatan yang wujud.

3. Gunakan teg skrip untuk merentas domain Kaedah ini juga sangat biasa Teg skrip boleh memuatkan JavaScript dan melaksanakannya dan berinteraksi dengan halaman induk melalui fungsi panggil balik yang telah ditetapkan. Ia mempunyai nama besar, dipanggil JSONP merentas domain. Ia adalah protokol tidak rasmi. Ia jelas memuatkan skrip Mengapa ia berkaitan dengan JSON? Ternyata ini adalah fungsi panggil balik Cara biasa untuk menggunakannya adalah dengan menghantar parameter melalui JSON, iaitu, mengisi data JSON ke dalam fungsi panggil balik. Ini adalah maksud JSON Padding. Terdapat banyak perkhidmatan JSONP di Internet untuk menyediakan data, yang pada asasnya adalah permintaan merentas domain Jika panggilan balik dinyatakan dalam URL permintaan, seperti panggilan balik=hasil, maka selepas mendapatkan data, fungsi hasil akan. dipanggil secara automatik , dan hantar data dalam bentuk JSON, contohnya (cari "bola sepak"):

http://ajax.googleapis.com/ajax/services/search/web?v=1.0&q=football&callback=result

Gunakan JQuery untuk memanggilnya sebagai:

Salin kod Kod adalah seperti berikut: $.getJSON("http://ajax.googleapis.com/ajax/services/search/web?v=1.0&q=football&callback=?",fungsi(data){ //... });

Secara amnya, had kaedah merentas domain JSONP ialah ia hanya boleh menggunakan permintaan GET dan ia tidak dapat menyelesaikan masalah cara membuat panggilan JavaScript antara dua halaman dalam domain yang berbeza.

4. Denyar silang domain: Ia akan mengakses fail crossdomain.xml di bawah direktori akar tapak web sasaran dan menentukan sama ada untuk membenarkan akses merentas domain ini berdasarkan kandungan dalam fail:

Salin kod Kod adalah seperti berikut:

5. Tag img juga boleh menggunakan Ini juga merupakan kaedah yang lebih lemah dalam fungsinya Kiraan klik Google ditentukan . 6. Tetingkap PostMessage, ini adalah mekanisme baharu yang ditambahkan pada HTML5 untuk komunikasi merentas domain Ia hanya disokong oleh Firefox 3, Safari 4, IE8 dan versi yang lebih baru. Kaedah panggilan untuk menggunakannya untuk menghantar mesej ke tetingkap lain adalah seperti berikut:

Salin kod Kod adalah seperti berikut: otherWindow.postMessage(message, targetOrigin);

Dalam tetingkap penerimaan, anda perlu menyediakan fungsi pemprosesan acara untuk menerima mesej yang dihantar: Salin kod Kod adalah seperti berikut: window.addEventListener("mesej", receiveMessage, false); fungsi terimaMesej(acara){ Jika (event.origin !== "http://example.org:8080") kembali; } Ambil perhatian bahawa atribut asal dan sumber mesej mesti digunakan untuk mengesahkan identiti pengirim, jika tidak, kerentanan XSS akan berlaku. 7. Kawalan Akses

Sesetengah pelayar menyokong pengepala respons seperti Access-Control-Allow-Origin, seperti:

Salin kod Kod adalah seperti berikut: header("Access-Control-Allow-Origin: http://www.a.com"); Ia menyatakan bahawa akses merentas domain ke www.a.com dibenarkan. 8. nama tingkap

Perkara ini sebenarnya telah digunakan sebagai alat penggodam XSS sebelum ini. Intipatinya ialah apabila lokasi tetingkap berubah, halaman tersebut akan dimuat semula, tetapi yang menariknya ialah window.name tidak berubah, jadi. anda boleh menggunakan Ia datang untuk lulus nilai. Bekerjasama dengan iframe dan tukar objek tetingkap iframe beberapa kali untuk menyelesaikan pemindahan data merentas domain praktikal.

9. document.domain

Kaedah ini sesuai untuk komunikasi silang domain antara a.example.com dan b.example.com, kerana mereka mempunyai domain biasa yang dipanggil example.com Hanya tetapkan document.domain kepada example.com , tetapi jika ada ialah komunikasi antara a.example1.com dan b.example2.com, ia tidak mempunyai pilihan.

10. Pemesejan Pengecam Fragmen (FIM)

Kaedah ini sangat menarik dan memerlukan kerjasama iframe. Fragment Identitier ialah bahagian selepas tanda paun (#) bagi URL yang sering digunakan untuk penentududukan sauh Perubahan dalam bahagian ini tidak akan menyebabkan halaman dimuat semula Tetingkap induk boleh mengakses URL iframe sesuka hati iframe juga boleh mengakses URL tetingkap induk sesuka hati , maka komunikasi antara kedua-duanya boleh dicapai dengan menukar Pengecam Fragmemen. Kelemahannya ialah perubahan Fragmement Identitier akan menjana rekod sejarah yang tidak perlu, dan terdapat juga had panjang di samping itu, sesetengah pelayar tidak menyokong acara onhashchange.

11. Bingkai Silang (CF)

Kaedah ini adalah varian daripada kaedah FIM yang disebutkan di atas Intipati CF dan FIM sebenarnya diperkenalkan dalam artikel "Pengalaman Pertama dengan GWT" saya (ia hanya digunakan untuk melaksanakan fungsi sejarah dan belakang). iframe akan dibuat secara dinamik, menunjuk ke domain asing Selepas pemprosesan, Pengecam Fragmen dalam URL iframe ini mengandungi hasil pemprosesan untuk diakses halaman induk dan URL penyemak imbas tidak akan berubah.

12. Protokol P3P Kuki

Menggunakan ciri kuki akses merentas domain di bawah protokol P3P untuk mencapai akses merentas domain juga merupakan helah yang pelik. P3P ialah piawaian perlindungan privasi yang disyorkan yang diterbitkan oleh W3C, bertujuan untuk menyediakan perlindungan privasi untuk pengguna Internet yang melayari Internet. Tetapkan laluan kuki kepada "/", iaitu, tiada sekatan domain Pada masa ini, sesetengah penyemak imbas membenarkan halaman dengan URL lain dibaca, manakala yang lain tidak perlu membalas pada halaman induk . Tetapkan pengepala P3P pada pengepala:

Salin kod Kod adalah seperti berikut: P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BAS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"