出于安全方面的考慮,各大瀏覽器都使用同源策略捉貌,禁止跨域訪問。所謂同源策略,簡單地說趁窃,就是要求動態(tài)內(nèi)容(如JavaScript)只能閱讀與之同源的那些HTTP應(yīng)答和cookies牧挣,而不能閱讀來自不同源的內(nèi)容。同源的判斷醒陆,應(yīng)該把握住 協(xié)議瀑构、域名和端口,只有同協(xié)議统求、同域名检碗、同端口才可以算的上是同源,只要這三者中有一個(gè)不同码邻,則兩個(gè)源就屬于不同的源折剃,兩者之間的訪問則屬于跨域訪問。關(guān)于同源與非同源的判斷像屋,可以參照下表(from?http://blog.sina.com.cn/s/blog_62d3ddc00101al1b.html)特別注意兩點(diǎn):第一怕犁,如果是協(xié)議和端口造成的跨域問題“前臺”是無能為力的,第二:在跨域問題上己莺,域僅僅是通過“URL的首部”來識別而不會去嘗試判斷相同的ip地址對應(yīng)著兩個(gè)域或兩個(gè)域是否在同一個(gè)ip上奏甫。“URL的首部”指window.location.protocol +window.location.host凌受,也可以理解為“Domains, protocols and ports must match”阵子。? ? ? ?同源策略雖然在安全性方面起到了很大的作用,但是在開發(fā)的工程中胜蛉,也不可避免地會需要跨域訪問資源挠进。如目前在很多大型Web項(xiàng)目的開發(fā)中,為了應(yīng)對大并發(fā)誊册,常常會采取前后端分開部署领突,這樣就涉及到跨域訪問的問題。JSONP是目前應(yīng)用比較廣泛的一種跨域解決方案案怯。JSONP的核心思想是利用JS標(biāo)簽的src屬性不受跨域限制進(jìn)行跨域訪問的君旦。其主要執(zhí)行過程可以總結(jié)為:首先在客戶端注冊一個(gè)回調(diào)函數(shù),然后把回調(diào)函數(shù)的名字傳給服務(wù)器嘲碱;服務(wù)器端將要返回給客戶端的數(shù)據(jù)生成為json格式金砍,同時(shí)獲取到客戶端傳過來的回調(diào)函數(shù)的名字,將要傳遞的json數(shù)據(jù)以實(shí)參的方式麦锯,放到回調(diào)函數(shù)中捞魁,然后將組合成的數(shù)據(jù)返回給客戶端,這樣返回給客戶端的數(shù)據(jù)格式則形如:回調(diào)函數(shù)名(data)离咐;客戶端則會解析返回的數(shù)據(jù)谱俭,執(zhí)行預(yù)先定義好的回調(diào)函數(shù)奉件。? ? ? ? JQuery.Ajax中使用JSONP很簡單,只需要指定datatype為jsonp格式昆著,至于回調(diào)函數(shù)县貌,可以采用默認(rèn)形式,JQuery會自動生成隨機(jī)函數(shù)名凑懂,并以默認(rèn)參數(shù)名callback=函數(shù)名附加在請求的url后煤痕,當(dāng)然,也可以通過jsonp和jsonpcallback自己定義回調(diào)函數(shù)的參數(shù)名和回調(diào)函數(shù)名稱,這兩個(gè)參數(shù)含義如下(w3c):---------------------------------------------------------? ? ? ? jsonp? ? ? ? 類型:String? ? ? ?在一個(gè) jsonp 請求中重寫回調(diào)函數(shù)的名字接谨。這個(gè)值用來替代在 "callback=?" 這種 GET 或 POST 請求中 URL 參數(shù)里的 "callback" 部分摆碉,比如 {jsonp:'onJsonPLoad'} 會導(dǎo)致將 "onJsonPLoad=?" 傳給服務(wù)器。? ? ? ?jsonpCallback? ? ? ?類型:String? ? ? ?為 jsonp 請求指定一個(gè)回調(diào)函數(shù)名脓豪。這個(gè)值將用來取代 jQuery 自動生成的隨機(jī)函數(shù)名巷帝。這主要用來讓 jQuery 生成度獨(dú)特的函數(shù)名,這樣管理請求更容易扫夜,也能方便地提供回調(diào)函數(shù)和錯(cuò)誤處理楞泼。你也可以在想讓瀏覽器緩存 GET 請求的時(shí)候,指定這個(gè)回調(diào)函數(shù)名笤闯。---------------------------------------------------------? ? ? ?在后端堕阔,只需要通過request.getParameter("callback")獲取到回調(diào)函數(shù)名,并將數(shù)據(jù)封裝成"回調(diào)函數(shù)名(data)"的形式返回即可,前端在收到返回結(jié)果后颗味,若返回的數(shù)據(jù)格式正確超陆,則調(diào)用success方法,對數(shù)據(jù)做相應(yīng)處理浦马,否則調(diào)用fail方法时呀。? ? ? ?下面是一個(gè)簡單的示例,后端使用servlet實(shí)現(xiàn)捐韩,前端頁面部署在http://localhost:8086/容器中退唠,后端代碼部署在http://localhost:8080/容器中鹃锈,由于端口號不同荤胁,所以前端頁面請求后端servlet時(shí)為跨域訪問。前端頁面代碼如下(部署在http://localhost:8086/):[html] view plain copy ????????????this?is?the?first?page.....??????? ? ? ?上述頁面發(fā)出的請求URL最后形如:http://localhost:8080/testApp/testServlet?callback=jQuery111107367232164833695_1422853667572屎债,回調(diào)函數(shù)設(shè)置采用JQuery的默認(rèn)設(shè)置仅政。后端代碼如下(部署在http://localhost:8080):web.xml代碼:[html] view plain copy?xml?version="1.0"?encoding="UTF-8"?testApp/testServletindex.htmtestServletcom.founder.servlet.TestServlettestServlet/testServletservlet代碼:[java] view plain copy package?com.founder.servlet;????import?java.io.IOException;??import?java.util.HashMap;??import?java.util.Map;????import?javax.servlet.ServletException;??import?javax.servlet.http.HttpServlet;??import?javax.servlet.http.HttpServletRequest;??import?javax.servlet.http.HttpServletResponse;??import?net.sf.json.JSONObject;??/**??*?測試servlet??*/??public?class?TestServlet?extends?HttpServlet?{????????private?static?final?long?serialVersionUID?=?1L;????????@Override??????protected?void?doGet(HttpServletRequest?req,?HttpServletResponse?resp)??????????????throws?ServletException,?IOException?{??????????this.doPost(req,?resp);??????}????????@Override??????protected?void?doPost(HttpServletRequest?req,?HttpServletResponse?resp)??????????????throws?ServletException,?IOException?{??????????Mapmap=new?HashMap();
map.put("name",?"sherry");
JSONObject?json=JSONObject.fromObject(map);
String?callback=req.getParameter("callback");//得到回調(diào)函數(shù)名
String?s=json.toString();
resp.getWriter().write(callback+"("+s+")");//封裝成?回調(diào)函數(shù)名(data)形式
}
}
使用jsonp方式解決跨域問題,編碼簡單盆驹,而且其兼容性很好圆丹,在一些古老的瀏覽器中都可以運(yùn)行,不需要XMLHttpRequest或者ActiveX的支持躯喇,但是它只支持get請求辫封,所以在應(yīng)用上也有一定的局限性硝枉。
