跨域访问Cookie

通过jQuery.get是不能异步访问跨域资源的。主要是因为安全考虑,否则其他域有可能获得当前页的cookie造成隐私泄漏。但js确可以跨域访问,因为所有浏览器都支持refer外部的js文件。访问外部域的js时会发送外部域的cookie,这样在返回的js中就能获取值了。

创建两个website,分别叫local.domain1.com和local.domain2.com

domain1中负责set和get本域的cookie,分别为setcookie.aspx和getcookie.aspx

//setcookie.aspx
public partial class SetCookie : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
Response.Headers.Add(
"P3P",
@"CP=""CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR""");

if (Response.Cookies != null && Request.Cookies.AllKeys.Contains("password"))
Response.Write(Request.Cookies[
"password"].Value);
HttpCookie aCookie
= new HttpCookie("password");
aCookie.Value
= "secret1!";
aCookie.Expires
= DateTime.Now.AddDays(1);
Response.SetCookie(aCookie);
}
}

//getcookie.aspx
public partial class GetCookie : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
string val = string.Empty;
if (Request.Cookies != null && Request.Cookies.AllKeys.Contains("password"))
val
= (Request.Cookies["password"].Value);
Response.Write(Request.QueryString[
"callback"] + "('" + val + "')");
}
}

setcookie.aspx => 存放password=secret1!的cookie,这存在潜在的危险,一开始的header是为了允许ie修改cookie

getcookie.aspx => 返回jsonp数据,其中的callback是由jquery自动生成的

在domain2中,添加访问页面getcrossdomaincookie.aspx

<script src="http://code.jquery.com/jquery-1.5.1.min.js" type="text/javascript"></script>
<script>
$(function () {
$.getJSON('http://local.domain1.com/getcookie.aspx?callback=?', function (data) {
alert(data);
});
});
</script>

关键在于callback=?,其中?说明由jquery自动生成jsonp的callback方法。

其实getJSON的设计有些tricky,包含了两种不同的行为。如果没有callback=?,就是普通的异步访问本域的资源然后返回结果。但如果是jsonp的形式,事实上会通过在header tag中动态加入script tag然后在载入后删除(IE似乎没有删除),当然这也是jsonp的标准做法。

posted @ 2011-02-27 18:04 dragonpig 阅读(...) 评论(...) 编辑 收藏