JS-跨域

1:什么是同源策略

  • 瀏覽器出于安全及用戶隱私方面的考慮,只允許腳本與本域下的接口交互冷冗。不同源的客戶端腳本在沒有明確授權(quán)的情況下蝴猪,不能讀寫對(duì)方的資源隅忿。(不允許域名不同的網(wǎng)站之間互相調(diào)用ajax,別的比如js征堪、css還是可以訪問)
  • 同源策略分以下兩種:
    1. DOM同源策略:禁止對(duì)不同源頁面DOM進(jìn)行操作瘩缆。這里主要場(chǎng)景是iframe跨域的情況,不同域名的iframe是限制互相訪問的佃蚜。
    2. XmlHttpRequest同源策略:禁止使用XHR對(duì)象向不同源的服務(wù)器地址發(fā)起HTTP請(qǐng)求庸娱。
  • 本域指的是?

    http://www.zhihu.com vs http://zhihu.com 不同源(域名必須完全相同才可以)
    需要注意的是:對(duì)于當(dāng)前頁面來說谐算,存放js的頁面的域不重要熟尉,重要的是加載(執(zhí)行)該js的頁面是什么域

同源策略是瀏覽器自身的安全機(jī)制,出現(xiàn)跨域時(shí)洲脂,請(qǐng)求是發(fā)到服務(wù)器的斤儿,服務(wù)器也給了響應(yīng),但是瀏覽器覺得數(shù)據(jù)不安全所以進(jìn)行了攔截

2:什么是跨域恐锦?跨域有幾種實(shí)現(xiàn)形式

  • 瀏覽器禁止訪問的場(chǎng)景:
  1. js里發(fā)送ajax請(qǐng)求往果,如果請(qǐng)求的url和當(dāng)前頁面的url非同域,則瀏覽器會(huì)拒絕提供數(shù)據(jù)并報(bào)錯(cuò)
  2. 當(dāng)前頁面下引入iframe,如果iframe里的頁面和當(dāng)前頁面的url非同域一铅,則瀏覽器會(huì)禁止當(dāng)前頁面的js獲取或者操作iframe下頁面的dom
  • 對(duì)于場(chǎng)景1陕贮,可以通過jsonp或者cors繞過瀏覽器的限制
  • 對(duì)于場(chǎng)景2,如果兩個(gè)頁面擁有相同的一級(jí)域名(如 a.hunger.com 和b.hunger.com)可通過降域的方式馅闽,如果是不同域名飘蚯,可使用postmessage)

3:JSONP 的原理是什么

HTML 中 script 標(biāo)簽可以加載其他域下的js,比如我們經(jīng)常引入一個(gè)其他域下線上cdn的jQuery福也。那如何利用這個(gè)特性實(shí)現(xiàn)從其他域下獲取數(shù)據(jù)呢局骤?

可以先這樣試試:

<script src="http://api.jirengu.com/weather.php"></script>

這時(shí)候會(huì)向天氣接口發(fā)送請(qǐng)求獲取數(shù)據(jù),獲取數(shù)據(jù)后做為 js 來執(zhí)行暴凑。 但這里有個(gè)問題峦甩, 數(shù)據(jù)是 JSON 格式的數(shù)據(jù),直接作為 JS 運(yùn)行的話我如何去得到這個(gè)數(shù)據(jù)來操作呢现喳?

這樣試試:

<script src="http://api.jirengu.com/weather.php?callback=showData"></script>

這個(gè)請(qǐng)求到達(dá)后端后凯傲,后端會(huì)去解析callback這個(gè)參數(shù)獲取到字符串showData,在發(fā)送數(shù)據(jù)做如下處理:

之前后端返回?cái)?shù)據(jù): {"city": "hangzhou", "weather": "晴天"} 現(xiàn)在后端返回?cái)?shù)據(jù): showData({"city": "hangzhou", "weather": "晴天"})嗦篱, 前端script標(biāo)簽在加載數(shù)據(jù)后會(huì)把 「showData({“city”: “hangzhou”, “weather”: “晴天”})」做為 js 來執(zhí)行冰单,這實(shí)際上就是調(diào)用showData這個(gè)函數(shù),同時(shí)參數(shù)是 {“city”: “hangzhou”, “weather”: “晴天”}灸促。 用戶只需要在加載提前在頁面定義好showData這個(gè)全局函數(shù)诫欠,在函數(shù)內(nèi)部處理參數(shù)即可涵卵。

<script>
function showData(ret){
console.log(ret);
}
</script>
<script src="http://api.jirengu.com/weather.php?callback=showData"></script>

這就是 JSONP(JSON with padding)

總結(jié):JSONP是通過 script 標(biāo)簽加載數(shù)據(jù)的方式去獲取數(shù)據(jù)當(dāng)做 JS 代碼來執(zhí)行,提前在頁面上聲明一個(gè)函數(shù)荒叼,函數(shù)名通過接口傳參的方式傳給后臺(tái)轿偎,后臺(tái)解析到函數(shù)名后在原始數(shù)據(jù)上「包裹」這個(gè)函數(shù)名,發(fā)送給前端被廓。換句話說坏晦,JSONP 需要對(duì)應(yīng)接口的后端的配合才能實(shí)現(xiàn)。

4:CORS是什么

  • CORS 全稱是跨域資源共享(Cross-Origin Resource Sharing)嫁乘,是一種 ajax 跨域請(qǐng)求資源的方式昆婿,支持現(xiàn)代瀏覽器,IE支持10以上亦渗。 實(shí)現(xiàn)方式很簡單挖诸,當(dāng)你使用 XMLHttpRequest 發(fā)送請(qǐng)求時(shí),瀏覽器發(fā)現(xiàn)該請(qǐng)求不符合同源策略法精,會(huì)給該請(qǐng)求加一個(gè)請(qǐng)求頭:Origin多律,后臺(tái)進(jìn)行一系列處理,如果確定接受請(qǐng)求則在返回結(jié)果中加入一個(gè)響應(yīng)頭:Access-Control-Allow-Origin; 瀏覽器判斷該相應(yīng)頭中是否包含 Origin 的值搂蜓,如果有則瀏覽器會(huì)處理響應(yīng)狼荞,我們就可以拿到響應(yīng)數(shù)據(jù),如果不包含瀏覽器直接駁回帮碰,這時(shí)我們無法拿到響應(yīng)數(shù)據(jù)相味。所以 CORS 的表象是讓你覺得它與同源的 ajax 請(qǐng)求沒啥區(qū)別,代碼完全一樣殉挽。

CORS的本質(zhì)就是在后臺(tái)加了一條說明丰涉,說明哪些域可以訪問該接口。瀏覽器在收到響應(yīng)以后會(huì)對(duì)照響應(yīng)頭里面的Access-Control-Allow-Origin的值斯碌,如果當(dāng)前頁面的域符合該值要求一死,那就可以處理數(shù)據(jù)。如果不符傻唾,那么就拒絕響應(yīng)數(shù)據(jù)投慈。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市冠骄,隨后出現(xiàn)的幾起案子伪煤,更是在濱河造成了極大的恐慌,老刑警劉巖凛辣,帶你破解...
    沈念sama閱讀 216,544評(píng)論 6 501
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件抱既,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡扁誓,警方通過查閱死者的電腦和手機(jī)蝙砌,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,430評(píng)論 3 392
  • 文/潘曉璐 我一進(jìn)店門阳堕,熙熙樓的掌柜王于貴愁眉苦臉地迎上來跋理,“玉大人择克,你說我怎么就攤上這事∏捌眨” “怎么了肚邢?”我有些...
    開封第一講書人閱讀 162,764評(píng)論 0 353
  • 文/不壞的土叔 我叫張陵,是天一觀的道長拭卿。 經(jīng)常有香客問我骡湖,道長,這世上最難降的妖魔是什么峻厚? 我笑而不...
    開封第一講書人閱讀 58,193評(píng)論 1 292
  • 正文 為了忘掉前任响蕴,我火速辦了婚禮,結(jié)果婚禮上惠桃,老公的妹妹穿的比我還像新娘浦夷。我一直安慰自己,他們只是感情好辜王,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,216評(píng)論 6 388
  • 文/花漫 我一把揭開白布劈狐。 她就那樣靜靜地躺著,像睡著了一般呐馆。 火紅的嫁衣襯著肌膚如雪肥缔。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,182評(píng)論 1 299
  • 那天汹来,我揣著相機(jī)與錄音续膳,去河邊找鬼。 笑死收班,一個(gè)胖子當(dāng)著我的面吹牛坟岔,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播闺阱,決...
    沈念sama閱讀 40,063評(píng)論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼炮车,長吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來了酣溃?” 一聲冷哼從身側(cè)響起瘦穆,我...
    開封第一講書人閱讀 38,917評(píng)論 0 274
  • 序言:老撾萬榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎赊豌,沒想到半個(gè)月后扛或,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,329評(píng)論 1 310
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡碘饼,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,543評(píng)論 2 332
  • 正文 我和宋清朗相戀三年熙兔,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了悲伶。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,722評(píng)論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡住涉,死狀恐怖麸锉,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情舆声,我是刑警寧澤花沉,帶...
    沈念sama閱讀 35,425評(píng)論 5 343
  • 正文 年R本政府宣布,位于F島的核電站媳握,受9級(jí)特大地震影響碱屁,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜蛾找,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,019評(píng)論 3 326
  • 文/蒙蒙 一娩脾、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧打毛,春花似錦柿赊、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,671評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至展辞,卻和暖如春奥邮,著一層夾襖步出監(jiān)牢的瞬間饱搏,已是汗流浹背十兢。 一陣腳步聲響...
    開封第一講書人閱讀 32,825評(píng)論 1 269
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留淡诗,地道東北人覆旱。 一個(gè)月前我還...
    沈念sama閱讀 47,729評(píng)論 2 368
  • 正文 我出身青樓蘸朋,卻偏偏與公主長得像,于是被迫代替她去往敵國和親扣唱。 傳聞我的和親對(duì)象是個(gè)殘疾皇子藕坯,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,614評(píng)論 2 353

推薦閱讀更多精彩內(nèi)容

  • Section1、為什么要跨域噪沙? 自古以來(1995年起)炼彪,為了用戶的信息安全,瀏覽器就引入了同源策略正歼。那么同源策...
    qhaobaba閱讀 381評(píng)論 0 0
  • Section1辐马、為什么要跨域? 自古以來(1995年起)局义,為了用戶的信息安全喜爷,瀏覽器就引入了同源策略冗疮。那么同源策...
    不去解釋閱讀 553評(píng)論 0 0
  • 這里說的js跨域是指通過js在不同的域之間進(jìn)行數(shù)據(jù)傳輸或通信,比如用ajax向一個(gè)不同的域請(qǐng)求數(shù)據(jù)檩帐,或者通過js獲...
    饑人谷_林嘉俊閱讀 449評(píng)論 0 1
  • 來吧术幔,少年,今天還能看文章學(xué)習(xí)的轿塔,一多半都是單身貴族特愿,看朋友圈還會(huì)被虐,不如學(xué)習(xí)勾缭,上街還會(huì)被虐,不如學(xué)習(xí)目养,痛并快樂...
    范小飯_閱讀 7,945評(píng)論 3 24
  • 跨域失敗 當(dāng)使用jsonp跨域時(shí)俩由, 1:請(qǐng)求必須是GET 2:python 寫的webservice返回的格式是J...
    旅行家John閱讀 436評(píng)論 0 1