Dag*_*bit 45 javascript same-origin-policy
概述和原始问题
window.name是一个有趣的野兽.MDN的描述暗示了原始意图:
窗口名称主要用于设置超链接和表单的目标.Windows不需要名称.
所以,这意味着我们可以在这个窗口中打开控制台,并写道:
var win = window.open('http://google.com', 'el goog');
...然后让它通过弹出窗口拦截器,它应该在一个名为"el goog"的窗口中打开google.com.由于同源策略,我无法访问name属性win,但如果我在新窗口中打开一个控制台并输入name,我就会得到"el goog".
如果我将窗口发送回我打开它的域(在这种情况下是stackoverflow.com),我可以获取name属性,但它没有改变.
win.location.replace(location.href);
win.name; // "el goog"
这意味着我们可以通过设置name窗口的属性来拥有一种跨域会话存储.
如果google.com 在窗口被发送回原始域之前更改了值window.name,我们会看到新值而不是"el goog".这可以用作跨域数据传输,类似于JSONP或CORS的实用程序.
我做了一些搜索试图找到更多的信息,显然道场认为它是合法的运输.但不知何故,这并不能完全让我放心.所以我的问题是,任何信誉良好的网站都window.name用作数据传输吗?我认为它很容易被发现,因为他们的文档会对JSONP的查询字符串说" 添加回调",或者为window.name添加'what',但我从未见过这样的东西.有没有人在野外发现过这个?
替代问题
可能是没有人真正使用这种技术; 如果那是真的那么(正如Rob W指出的那样)上面的问题是无法回答的.所以,我的另一个问题是,这种方法有什么问题?这可能有助于解释为什么它没有被真正采用.
我认为,与JSONP相比,这种方法至少有两个好处.
使用JSONP,您可以信任来自外地的脚本在您的域上运行.使用window.name,恶意站点包含的任何脚本都可以在自己的域上运行.
使用JSONP,无法传递大数据(对于URL来说太大了),也无法进行HTTP POST.有了window.name,我们可以发布任意大小的任意数据.
有什么缺点?
示例实现
这是客户端实现的一个非常简单的示例.这不处理POST请求,只处理GET.
function fetchData(url, callback) {
var frame = document.createElement('iframe');
frame.onload = function() {
frame.onload = function() {
callback(frame.contentWindow.name);
frame.parentNode.removeChild(frame);
}
frame.src = 'about:blank';
}
frame.src = url;
document.body.appendChild(frame);
}
// using it
fetchData('http://somehost.com/api?foo=bar', function(response) {
console.log(response);
});?
我已经建立了一个小提琴来测试它在这里.它使用此脚本作为测试服务器.
这是一个稍微长一点的例子,可以发出POST请求:http://jsfiddle.net/n9Wnx/2/
摘要
据我所知,window.name还没有作为数据传输流行起来.我想知道我的感知是否准确(因此是原始问题),如果是这样,我想知道为什么会这样.我列出了一些window.name似乎优于JSONP的优点.任何人都可以找出一些可能导致阻止采用这种技术的缺点吗?
更重要的是,任何人都可以给我一个坚实的理由,为什么我不应该winow.name用作数据传输?
window.name作为一种运输并不是特别好,因为(AFAIK)它不会在任何事件发生变化时触发.因此,试图window.name用作双向通信信道的应用程序必须轮询它以进行更新.
至于实际使用它的网站:我从未听说过任何网站.可能有一些,但我只是从纯粹的理论意义上听说过这种技术.
| 归档时间: |
|
| 查看次数: |
14849 次 |
| 最近记录: |