饥人谷技术博客

同源策略、跨域、jsonp

2016-11-29  本文已影响104人  嘿菠萝

问答

只要协议、域名、端口有任何一个不同,都被当作是不同的域。 跨域是指不同域名的脚本之间的相互访问,由于浏览器同源策略的限制,不同域名下的脚本之间不可以相互读写数据,但是在实际应用中,很多场景下是需要实现跨域请求的,跨域是为了突破同源策略的限制,它的的实现形式有:

1.降域: 对于在相同的父级域名下的例子,可以通过设置document.domain的办法来解决。 例如:http://a.jrg.com/a.html
http://b.jrg.com/b.html可以在a.html中加上document.domain = ‘jrg.com
;然后通过在a.html创建一个iframe,去控制iframe的contentDocument,这样两个js文件之间就可以“交互”了. (若在不同文件,分别添相应的document.domain)。不过,此方法限定了要在相同的父级域名下,有局限。

2.JSONP: 由于直接用 XMLHttpRequest 请求不同域上的数据是不可以的。这种方式主要是通过动态插入一个 script 标签。浏览器对 script 的资源引用没有同源限制,同时资源加载到页面后会立即执行(没有阻塞的情况下)

3.CORS(Cross-Origin Resource Sharing): CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。
实现方式很简单,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头: Origin ,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头: Access-Control-Allow-Origin ; 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。
4. postMessage: 即跨文档消息传输,通过postMessage方法指明需要传递的数据,以及目标域名,接收端添加事件监听message,通过事件的origin属性判断发送请求的域名,符合要求就接收数据,客户端的方法和服务端的监听必须配套使用。 (只有在window窗口中才有postMessage方法,相当于在页面中嵌入了几个iframe,postMessage能使几个iframe之间进行交互)

html中script标签可以引入其他域下的js,比如引入线上的jquery库。利用这个特性,可实现跨域访问接口。需要后端支持
如:res.send(cb + '('+ JSON.stringify(data) + ')');
1.定义数据处理函数_fun
2.创建script标签,src的地址执行后端接口,最后加个参数callback=_fun
3.服务端在收到请求后,解析参数,计算返还数据,输出 fun(data) 字符串。
4.fun(data)会放到script标签做为js执行。此时会调用fun函数,将data做为参数。范例见练习。

CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。 实现方式很简单,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。
("Access-Control-Allow-Origin", "http://b.com:8080");//允许b.com:8080跨越
("Access-Control-Allow-Origin", "*"); //允许所有的域名跨越
----本文版权归本人和饥人谷所有,请勿转载

上一篇 下一篇

猜你喜欢

热点阅读