跨域访问Cookie
通过jQuery.get是不能异步访问跨域资源的。主要是因为安全考虑,否则其他域有可能获得当前页的cookie造成隐私泄漏。但js确可以跨域访问,因为所有浏览器都支持refer外部的js文件。访问外部域的js时会发送外部域的cookie,这样在返回的js中就能获取值了。
创建两个website,分别叫local.domain1.com和local.domain2.com
domain1中负责set和get本域的cookie,分别为setcookie.aspx和getcookie.aspx
//setcookie.aspx
public partial class SetCookie : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
Response.Headers.Add("P3P",
@"CP=""CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR""");
if (Response.Cookies != null && Request.Cookies.AllKeys.Contains("password"))
Response.Write(Request.Cookies["password"].Value);
HttpCookie aCookie = new HttpCookie("password");
aCookie.Value = "secret1!";
aCookie.Expires = DateTime.Now.AddDays(1);
Response.SetCookie(aCookie);
}
}
//getcookie.aspx
public partial class GetCookie : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string val = string.Empty;
if (Request.Cookies != null && Request.Cookies.AllKeys.Contains("password"))
val = (Request.Cookies["password"].Value);
Response.Write(Request.QueryString["callback"] + "('" + val + "')");
}
}
setcookie.aspx => 存放password=secret1!的cookie,这存在潜在的危险,一开始的header是为了允许ie修改cookie
getcookie.aspx => 返回jsonp数据,其中的callback是由jquery自动生成的
在domain2中,添加访问页面getcrossdomaincookie.aspx
<script src="http://code.jquery.com/jquery-1.5.1.min.js" type="text/javascript"></script>
<script>
$(function () {
$.getJSON('http://local.domain1.com/getcookie.aspx?callback=?', function (data) {
alert(data);
});
});
</script>
关键在于callback=?,其中?说明由jquery自动生成jsonp的callback方法。
其实getJSON的设计有些tricky,包含了两种不同的行为。如果没有callback=?,就是普通的异步访问本域的资源然后返回结果。但如果是jsonp的形式,事实上会通过在header tag中动态加入script tag然后在载入后删除(IE似乎没有删除),当然这也是jsonp的标准做法。