window.name 作为数据传输:一种有效的方法

概述和原始问题

window.name 是一只有趣的野兽。MDN 的描述暗示了原意：

窗口的名称主要用于设置超链接和表单的目标。窗口不需要有名称。

因此，这意味着我们可以在此窗口中打开控制台，然后编写：

var win = window.open('http://google.com', 'el goog');

。然后让它通过弹出窗口阻止程序，它应该在名为"el Goog"的窗口中打开 google.com。 由于同源策略，我无法访问win的name属性，但是如果我在新窗口中打开控制台并键入name，我会得到"el goog"。

如果我将窗口发送回我从中打开它的域(在本例中为 stackoverflow.com(，我可以获取 name 属性，并且它没有更改。

win.location.replace(location.href);
win.name; // "el goog"

这意味着我们可以通过设置窗口的 name 属性来拥有一种跨域会话存储。

如果 google.com 在窗口发送回原始域之前更改了window.name的值，我们将看到新值而不是"el goog"。 这可以用作跨域数据传输，类似于JSONP或CORS的效用。

我做了一些搜索以试图找到更多信息，显然道场认为它作为交通工具是合法的。但不知何故，这并不能完全让我放心。所以我的问题是，是否有任何信誉良好的网站使用window.name作为数据传输？我认为这很容易被发现，因为他们的文档会说">在 JSONP 的查询字符串中添加'回调'，或者为 window.name 添加'whatever'"，但我从未见过这样的事情。有没有人在野外发现过这个？

替代问题

可能没有人真正使用这种技术;如果这是真的，那么(正如Rob W指出的那样(上面的问题是无法回答的。所以，我的替代问题是，这种方法有什么问题？这可能有助于解释为什么它没有真正被采用。

在我看来，这种方法与 JSONP 相比至少有两个好处。

• 使用 JSONP，您可以信任来自外部源的脚本在您的域上运行。使用window.name，恶意站点包含的任何脚本都将在自己的域上运行。

• 使用JSONP，没有办法传入大数据(任何对于URL来说太大的数据(，也没有办法制作HTTP POST。使用 window.name ，我们可以发布任意大小的任意数据。

缺点是什么？

示例实现

下面是一个非常简单的客户端实现示例。这不处理 POST 请求，只处理 GET。

function fetchData(url, callback) {
    var frame = document.createElement('iframe');
    frame.onload = function() {
        frame.onload = function() {
            callback(frame.contentWindow.name);
            frame.parentNode.removeChild(frame);
        }
        frame.src = 'about:blank';
    }
    frame.src = url;
    document.body.appendChild(frame);
}
// using it
fetchData('http://somehost.com/api?foo=bar', function(response) {
    console.log(response);
});​

我已经设置了一个小提琴来测试它。它使用此脚本作为测试服务器。

下面是一个稍长的示例，可以发出 POST 请求：http://jsfiddle.net/n9Wnx/2/

总结

据我所知，window.name并没有作为一种数据传输而流行起来。我想知道我的看法是否准确(因此是最初的问题(，如果是这样，我想知道为什么会这样。我列出了window.name似乎比JSONP具有的一些优势。谁能找出一些可能导致阻止采用这种技术的缺点？

更重要的是，谁能给我一个充分的理由，为什么我不应该使用winow.name作为数据传输？