揭秘iframe父窗口如何巧妙调用子窗口JavaScript，实现跨域交互！

跨域问题一直是前端开发中一个常见且棘手的问题。特别是在使用iframe进行页面嵌入时，父窗口和子窗口之间的JavaScript交互常常受到同源策略的限制。本文将深入探讨iframe父窗口如何巧妙地调用子窗口JavaScript，实现跨域交互。

同源策略与跨域问题

首先，我们需要了解什么是同源策略。同源策略是浏览器的一种安全机制，它限制了从一个源加载的文档或脚本如何与另一个源的资源进行交互。这里的“源”是由协议（protocol）、域名（domain）和端口（port）组成的。如果两个页面的这三个部分完全相同，则它们属于同一个源。

在默认情况下，出于安全考虑，浏览器不允许不同源的页面进行JavaScript交互。这就导致了跨域问题，即父窗口和iframe中的子窗口不属于同一个源，因此不能直接访问子窗口的JavaScript对象。

实现跨域交互的方法

尽管同源策略限制了直接交互，但我们可以通过以下几种方法实现跨域交互：

1. 使用window.postMessage

window.postMessage方法允许窗口向另一个窗口发送消息，不论这两个窗口是否属于同一个源。接收消息的窗口可以通过监听message事件来接收这些消息。

以下是一个使用postMessage的例子：

父窗口代码：

// 发送消息到子窗口
function sendMessageToChild() {
  var iframe = document.getElementById('myIframe');
  var childWindow = iframe.contentWindow;
  childWindow.postMessage('Hello from parent!', 'http://child.example.com');
}

// 监听来自子窗口的消息
window.addEventListener('message', function(event) {
  if (event.origin !== 'http://child.example.com') {
    return; // 检查消息来源是否合法
  }
  console.log('Received message from child:', event.data);
}, false);

子窗口代码：

// 监听来自父窗口的消息
window.addEventListener('message', function(event) {
  if (event.origin !== 'http://parent.example.com') {
    return; // 检查消息来源是否合法
  }
  console.log('Received message from parent:', event.data);
}, false);

2. 使用CORS（跨源资源共享）

CORS是一种机制，它允许服务器指定哪些外部域可以访问其资源。通过设置Access-Control-Allow-Origin响应头，服务器可以允许来自不同源的请求。

服务器端设置（以Node.js为例）：

app.get('/data', function(req, res) {
  res.header("Access-Control-Allow-Origin", "http://parent.example.com");
  res.send({ message: 'Data from server' });
});

父窗口代码：

fetch('http://child.example.com/data')
  .then(response => response.json())
  .then(data => console.log(data))
  .catch(error => console.error('Error:', error));

3. 使用JSONP（只支持GET请求）

JSONP是一种较老的跨域技术，它通过<script>标签的src属性来绕过同源策略。JSONP只支持GET请求，因此适用于简单的数据交换。

父窗口代码：

function loadJSONP(url, callback) {
  var script = document.createElement('script');
  script.src = url + '?callback=' + callback;
  document.head.appendChild(script);
}

loadJSONP('http://child.example.com/jsonp', function(data) {
  console.log(data);
});

子窗口代码：

window.myCallback = function(data) {
  console.log('JSONP data:', data);
};

总结

通过上述方法，我们可以巧妙地实现iframe父窗口与子窗口之间的跨域交互。在实际应用中，选择合适的方法取决于具体的需求和限制。无论是使用postMessage、CORS还是JSONP，都需要注意安全性和兼容性。希望本文能帮助您更好地理解和解决跨域交互的问题。