浏览器的同源策略:

    - 同源: 同方法,同域名,同端口

             http://www.baidu.com:8000

             http:          方法

             www.baidu.com: 域名

             8000:          端口

    - 定义

        网上解析非常好的一篇

        http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html

    - 限制 ajax只能发给同源的网址;

           限制原理:

                浏览器request--->跨域服务器

                浏览器阻止接收<----跨域服务器响应, 服务器已经做出响应了,而且返回了,只是浏览器阻止接收

    - 解决策略JSONP

        它的基本思想是,网页通过添加一个<script>元素,请跨域请求放在src属性上

        向服务器请求JSON数据

            (注意数据是json,数据是通过回调函数的参数传递回来的,

            所以参数必须是经过json话

            )

        这种做法不受同源政策限制;

        服务器收到请求后,将数据放在一个指定名字的回调函数里传回来。

    JSONP需求:向其他网站发送http请求

        - 解决办法:浏览器直接发送请求(到访问其他网站)--考虑浏览器同源

            - 要求:

                1. 客户端

                    - jsonp发送url, 把funname放到url中 url?callback=myfun

                    - 定义myfun函数 function myfun(arg)

                2. 服务端

                    - 获取callback,  fun_name = request.GET.get('callback')

                    - arg是请求,需要获取的数据,这个数据必须字符串或者是Json字符串

                    - 字符串 temp = '%s(%s)' %(fun_name, arg)

                        注意,如果arg是列表等类型要先arg = json.dumps(arg)

                    - 返回字符串

                        return HttpResponse(temp)

                ps: 不是特别必要

                    修改django settings.py里面的ALLOWED_HOSTS = ['http://www.s4.com']

                    修改C:\Windows\System32\Drivers\etc\hosts里面的内容增加内容

                        127.0.0.1   www.s4.com

                        127.0.0.1   www.s5.com

            - 原理:

                只要页面加载下面语句

                <script src="http://www.s4.com:8001/user"></script>

                内存中就会返回http://www.s4.com:8001/user页面内容,

                并且将内容保存在内存中, 在页面的时候,会将内容当做Js渲染

                当请求http://www.s4.com:8001/user?myfun=callback,

                后台返回Json.dumps('myfun(arg)'),

                存储在浏览器内存中,就相当于调用函数 myfun(arg),

                因此,需要在前端定义callback(arg),这样就不需要考虑什么时候调用函数,

                为了节省空间,一般绑定一个事件动态生成script标签,

                    function xxx(){

                        var tag = document.createElement('script')

                        tag.src = 'http://www.s4.com:8001/user?callback=myfun';

                        document.getElementByTag('head').appendChild(tag);

                    }

                    function myfun(arg){

                        console.log(arg);

                    }

# JSONP实例--动态创建script标签

    # A网站前端

        <!DOCTYPE html>

        <html lang="en">

        <head>

            <meta charset="UTF-8">

            <title>Title</title>

        </head>

        <body>

        <input type="button" value="jsonp" onclick="test_jsonp();">

        <script>

            function test_jsonp(){

                var tag = document.createElement('script');

                tag.src = 'http://127.0.0.1:8001/users?callback=get_users';

                document.head.appendChild(tag);

            }

            function get_users(arg){

                alert(123);

                console.log(arg)

            }

        </script>

        </body>

        </html>

    # B网站处理请求

        url(r'^users', views.users),

        def users(request):

            fun_name = request.GET.get('callback')

            user_list = json.dumps(['alex', 'egon', 'eric'])

            temp = "%s(%s)" % (fun_name, user_list)

            return HttpResponse(temp)

# 用jQuery 封装JSONP,

    # 主要是前端不同,其他的一一致

    <!DOCTYPE html>

    <html lang="en">

    <head>

        <meta charset="UTF-8">

        <title>Title</title>

    </head>

    <body>

    <input type="button" value="获取用户列表" onclick="getUsers();">

    </body>

    <script src="/static/js/jquery-1.12.4.js"></script>

    <script>

        function getUsers(){

            $.ajax({

                url: 'http://127.0.0.1:8001/users',

                type: 'GET',

                dataType: 'jsonp',

                jsonp: 'callback',      // 指定url传递参数名称

                jsonpCallback: 'myFun' // 指定回调函数

            })

            // jsonp: 'callback', jsonCallback" :'myFun'

            // 等效于将?callback=myFun加到url上

        }

        function myFun(arg){

            console.log(arg);

        }

    </script>

    </html>

# jQuery实现跨越的另一种方式$.getJSON()

    利用getJSON来实现,只要在地址中加上callback=?参数即可

    <!DOCTYPE html>

    <html lang="en">

    <head>

        <meta charset="UTF-8">

        <title>Title</title>

    </head>

    <body>

    <input type="button" value="获取用户列表" onclick="getUsers();">

    </body>

    <script src="/static/js/jquery-1.12.4.js"></script>

    <script>

        function getUsers(){

            $.getJSON("http://127.0.0.1:8001/users?callback=?", myFun);

        }

        function myFun(arg){

            console.log(arg);

        }

    </script>

    </html>

# 使用jsonp注意:

    - 只能发get请求(生成script标签,里面的src肯定是get请求)

    - 客户端和服务端做好约定

    - jsonp是一项技术,方法;目的是解决跨域问题

# 解决跨域请求的另一种方式:cors : cross site

    在响应增加一个响应头:Access-Control-Allow-Origin, 这样就允许ajax跨域发送请求.

    浏览器看到这个消息头,就不会阻止接收跨域返回的响应

    # 视图函数

        obj = HttpResponse()

        obj['Access-Control-Allow-Origin ']= '*'

        # 或者obj['Access-Control-Allow-Origin ']= 'www.s4.com:8000'

        return obj

# cros解决浏览器阻止ajax跨域问题 --简单请求

    - 实例

        # 前端

            <body>

            <input type="button" value="cros支持ajax跨域发送请求" onclick="JsAjaxSend();">

            </body>

            <script src="/static/js/jquery-1.12.4.js"></script>

            <script>

                function JsAjaxSend() {

                    $.ajax({

                        url: 'http://127.0.0.1:8001/new_users',

                        type: 'GET',

                        success:function(arg){

                         console.log(arg)

                        }

                    })

                }

            </script>

        # http://127.0.0.1:8001/new_users视图函数

            def new_users(request):

                print('请求来了')

                user_list = ['alex', 'egon', 'eric']

                user_list_str = json.dumps(user_list)

                obj = HttpResponse(user_list_str)

                obj['Access-Control-Allow-Origin'] = "http://127.0.0.1:8000"

                return obj

# cros解决ajax跨域请求问题--复杂请求

    复杂请求实际上发送了两个请求: OPTIONS,以及后面的复杂请求。

    # 前端

        function JsAjaxSend() {

        $.ajax({

            url: 'http://127.0.0.1:8001/complicated_users',

            type: 'DELETE',

            success:function(arg){

             console.log(arg)

            }

        })

    }

    # 视图 --这里取消了csrf

        def complicated_users(request):

            if request.method == 'OPTIONS':

                # 设置允许delete方法和浏览器接收跨域响应

                obj = HttpResponse()

                obj['Access-Control-Allow-Methods'] = 'DELETE'

                obj['Access-Control-Allow-Origin'] = "http://127.0.0.1:8000"

                return obj

            else:

                user_list_str = json.dumps(['eric', 'alex'])

                obj = HttpResponse(user_list_str)

                obj['Access-Control-Allow-Origin'] = "http://127.0.0.1:8000"

                return obj

# 如何区分复杂请求和简单请求

    1、请求方式:HEAD、GET、POST

    2、请求头信息:

        Accept

        Accept-Language

        Content-Language

        Last-Event-ID

        Content-Type 对应的值是以下三个中的任意一个

                                application/x-www-form-urlencoded

                                multipart/form-data

                                text/plain

    注意:同时满足以上两个条件时,则是简单请求,否则为复杂请求

# 参考博客

http://www.cnblogs.com/wupeiqi/articles/5703697.html

[oldboy-django][2深入django]浏览器同源策略 + JSONP + cros的更多相关文章

  1. Django 之Ajax&Json&CORS&同源策略&Jsonp用法

    什么是Json 定义: JSON(JavaScript Object Notation, JS 对象标记) 是一种轻量级的数据交换格式.它基于 ECMAScript (w3c制定的js规范)的一个子集 ...

  2. django csrf_protect及浏览器同源策略

    1.django在检测post行为时会有诸多的限制. 为了防止跨域请求伪造安全 参考:http://www.qttc.net/201209211.html   https://www.cnblogs. ...

  3. Django之跨域请求同源策略

    同源策略: 首先基于安全的原因,浏览器是存在同源策略这个机制的,同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性. 而如果我们要跳过这个策略,也就是说非要跨域请求,那么就需要通过 ...

  4. jsonp突破浏览器同源策略

    jsonp突破浏览器同源策略 <!DOCTYPE html> <html lang="en"> <head> <meta charset= ...

  5. [js]浏览器同源策略(same-origin policy)

    浏览器的同源策略 浏览器同源政策及其规避方法 什么是同源策略 A网页设置的 Cookie,B网页不能打开,除非这两个网页"同源".所谓"同源"指的是" ...

  6. 浏览器同源策略及Cookie的作用域

    from:https://blog.csdn.net/wang379275614/article/details/53333054 如题,本文主要介绍两方面内容:首先简单介绍浏览器的同源策略与其带来的 ...

  7. 浏览器同源策略,跨域请求jsonp

    浏览器的同源策略 浏览器安全的基石是"同源政策"(same-origin policy) 含义: 1995年,同源政策由 Netscape 公司引入浏览器.目前,所有浏览器都实行这 ...

  8. DRF项目之解决浏览器同源策略问题

    DRF项目,是一个前后端分离的Web框架. 本项目中,我们前端采用的是VUE框架. 前后端分离的情况就会出现一个问题,前端的Ajax请求无法请求到后端API(接口). 那么,为什么会出现这种问题呢? ...

  9. 浏览器同源策略与ajax跨域方法汇总

    原文 什么是同源策略 如果你进行过前端开发,肯定或多或少会听说过.接触过所谓的同源策略.那么什么是同源策略呢? 要了解同源策略,首先得理解“源”.在这个语境下,源(origin)其实就是指的URL.所 ...

随机推荐

  1. ABAP Netweaver, Hybris Commerce和SAP 云平台的登录认证

    ABAP Netweaver 在事务码SICF里选择一个服务,在明细页面对Procedure字段点击F1,查看Logon Procedure的帮助文档. 通过这个链接打开对应的帮助文档,可以看到下列七 ...

  2. URL Schemes 不能识别和不能跳转的原因

    在app跳转的过程中 需要设置url schemes后,但是设置完后,却不能识别, (测试方式:URL scheme + ://)在浏览器中打开,如果能打开app,就是能跳转 今天遇到了一个坑爹的问题 ...

  3. python_44_文件属性

    #打印文件属性信息 import os#os.stat()返回的文件属性元组元素的含义 filestats=os.stat('yesterday')#获取文件/目录的状态 print(filestat ...

  4. JT∕T 905 -2014 出租汽车服务管理信息系统的相关协议研究

    出租汽车服务管理信息系统(JT∕T 905 -2014) 国家的相关技术要求2014年7月正式出台,总体有四部分,   第 1 部分:总体技术要求:   第 2 部分:运营专用设备:   第 3 部分 ...

  5. 《转载》ASP动态iframe

    原文:[ASP.NET]关于iframe的两个技巧 最近在给朋友写个网站,虽然不大,但是也碰到了一些问题.这篇就为解决ASP.NET中关于IFRAME的两个很现实的问题提供解决方法.PS:呵呵,又做了 ...

  6. 【Python学习之八】ORM

    ORM 什么是ORM呢? ORM全称是:Object-Relational Mapping.即对象-关系映射,就是把关系数据库的一行映射为一个对象,也就是一个类对应一个表.这样,写代码更简单,不用直接 ...

  7. HTTP协议原理

    HTTP是一个客户端终端(用户)和服务器端(网站)请求和应答的标准(TCP).通过使用网页浏览器.网络爬虫或者其它的工具,客户端发起一个HTTP请求到服务器上指定端口(默认端口为80).我们称这个客户 ...

  8. LOL游戏基本代码

    class Hero: def __init__(self, new_nickname, new_aggressivity, new_life_value, new_money, new_armor ...

  9. JavaScript 循环

    for循环:  如果您希望一遍又一遍运行相同的代码,并且每次的值都不同,那么使用循环是很方便的. 我们可以这样输出数组的值: document.write(cars[0] + "<br ...

  10. 2017 United Kingdom and Ireland Programming(Gym - 101606)

    题目很水.睡过了迟到了一个小时,到达战场一看,俩队友AC五个了.. 就只贴我补的几个吧. B - Breaking Biscuits Gym - 101606B 旋转卡壳模板题.然后敲错了. 代码是另 ...