第二百七十四节,同源策略和跨域Ajax
同源策略和跨域Ajax
什么是同源策略
| URL | 结果 | 原因 |
| http://store.company.com/dir2/other.html | 是 | |
| http://store.company.com/dir/inner/another.html | 是 | |
| https://store.company.com/secure.html | 不是 | 协议不相同 |
| http://store.company.com:81/dir/etc.html | 不是 | 端口号不相同 |
| http://news.company.com/dir/other.html | 不是 | 主机名不相同 |
127.0.0.1 www.fwd.com
127.0.0.1 www.khd.com
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>
</head>
<body>
<input type="button" value="提交" onclick="doajax();"/>
<script>
function doajax() {
$.ajax({
url: 'http://www.fwd.com:8001/fwd',
type: 'POST',
data:{'k1':'v1'},
success: function (responseText, statusText) {
},
error: function (event, errorText, errorType) { }
});
}
</script>
</body>
</html>
http://www.fwd.com:8001/fwd
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>
<script type="text/javascript" src='{{static_url("jquery.form.js")}}' charset="UTF-8"></script>
</head>
<body>
服务端
<script> </script>
</body>
</html>
此时点击按钮发起ajax请求后,可以看到请求已被浏览器的同源策略阻止
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>
</head>
<body>
<input type="button" value="跨域提交" onclick="doajax();"/>
<script>
//利用原生js自己创建一个跨域请求
function doajax() { //当点击提交按钮是执行函数
var tag = document.createElement('script'); //创建一个script标签
tag.src = 'http://www.fwd.com:8001/fwd'; //设置script标签的src地址,为要请求数据的地址,因为src是不受同源策略
document.head.appendChild(tag); //将script标签添加到head标签里面
document.head.removeChild(tag); //添加后会立即发送请求,所以这里可以将添加的script标签删除了
}
//响应网站返回,shuju({'k1':'v1'}); 也就相当于返回了一个带有参数的函数名称
function shuju(shj) { //自定义执行函数,和响应网站返回的名称相同,也就会执行自定义函数,而参数就是响应网站返回的数据
for(var i in shj){ //循环响应网站返回的数据
alert(i + ':' + shj[i]); //打印出数据的键和值
}
}
</script>
</body>
</html>
响应端
import tornado.ioloop
import tornado.web #导入tornado模块下的web文件 class fwdHandler(tornado.web.RequestHandler):
def get(self): #接收get请求
# self.render("fwd.html")
self.write("shuju({'k1':'v1'});") #返回数据
def post(self):
self.write("post请求成功") settings = { #html文件归类配置,设置一个字典
"template_path":"views", #键为template_path固定的,值为要存放HTML的文件夹名称
"static_path":"statics", #键为static_path固定的,值为要存放js和css的文件夹名称
} #路由映射
application = tornado.web.Application([ #创建一个变量等于tornado.web下的Application方法
(r"/fwd", fwdHandler),
],**settings) #将html文件归类配置字典,写在路由映射的第二个参数里 if __name__ == "__main__":
#内部socket运行起来
application.listen(8001) #设置端口
tornado.ioloop.IOLoop.instance().start()
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>
</head>
<body>
<input type="button" value="跨域提交" onclick="doajax();"/>
<script>
function doajax() { //当点击提交按钮是执行函数
$.ajax({
type: 'GET',
url: 'http://www.fwd.com:8001/fwd',
dataType: 'jsonp', //JSONP,数据类型
jsonpCallBack:'shj' //接收响应页面带有参数的函数名称
});
}
//响应网站返回,shuju({'k1':'v1'}); 也就相当于返回了一个带有参数的函数名称
function shuju(shj) { //自定义执行函数,和响应网站返回的名称相同,也就会执行自定义函数,而参数就是响应网站返回的数据
for (var i in shj) { //循环响应网站返回的数据
alert(i + ':' + shj[i]); //打印出数据的键和值
}
}
</script>
</body>
响应端
#!/usr/bin/env python
#coding:utf-8 import tornado.ioloop
import tornado.web #导入tornado模块下的web文件 class fwdHandler(tornado.web.RequestHandler):
def get(self): #接收get请求
# self.render("fwd.html")
self.write("shuju({'k1':'v1'});") #返回数据
def post(self):
self.write("post请求成功") settings = { #html文件归类配置,设置一个字典
"template_path":"views", #键为template_path固定的,值为要存放HTML的文件夹名称
"static_path":"statics", #键为static_path固定的,值为要存放js和css的文件夹名称
} #路由映射
application = tornado.web.Application([ #创建一个变量等于tornado.web下的Application方法
(r"/fwd", fwdHandler),
],**settings) #将html文件归类配置字典,写在路由映射的第二个参数里 if __name__ == "__main__":
#内部socket运行起来
application.listen(8001) #设置端口
tornado.ioloop.IOLoop.instance().start()
简单请求和非简单请求的区别?
简单请求:一次请求
非简单请求:两次请求,在发送数据之前会先发一次请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
条件:
1、请求方式:HEAD、GET、POST
2、请求头信息:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type 对应的值是以下三个中的任意一个
application/x-www-form-urlencoded
multipart/form-data
text/plain
注意:同时满足以上两个条件时,则是简单请求,否则为复杂请求
self.set_header()方法,在响应端的逻辑处理的get或者post里使用,功能:给返回数据加上响应头标识告诉浏览器允许跨域请求
使用方法:两个参数,参数1,响应头标识,参数2,允许跨域请求的域名(多个域名,号隔开),(*代表所有域名支持跨域请求)
self.set_header('Access-Control-Allow-Origin','http://www.jxiou.com/')
self.set_header('Access-Control-Allow-Origin','*')
响应端
#!/usr/bin/env python
#coding:utf-8 import tornado.ioloop
import tornado.web #导入tornado模块下的web文件 class fwdHandler(tornado.web.RequestHandler):
def get(self): #接收get请求
pass
def post(self):
self.set_header('Access-Control-Allow-Origin','*')
self.write("{'k1':'v1'}") # 返回数据 settings = { #html文件归类配置,设置一个字典
"template_path":"views", #键为template_path固定的,值为要存放HTML的文件夹名称
"static_path":"statics", #键为static_path固定的,值为要存放js和css的文件夹名称
} #路由映射
application = tornado.web.Application([ #创建一个变量等于tornado.web下的Application方法
(r"/fwd", fwdHandler),
],**settings) #将html文件归类配置字典,写在路由映射的第二个参数里 if __name__ == "__main__":
#内部socket运行起来
application.listen(8001) #设置端口
tornado.ioloop.IOLoop.instance().start()
请求页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>
</head>
<body>
<input type="button" value="跨域提交" onclick="doajax();"/>
<script>
function doajax() { //当点击提交按钮是执行函数
$.ajax({
type: 'POST',
url: 'http://www.fwd.com:8001/fwd',
data: {"a":'b'},
success: function (response, status, xhr) {
alert(response); //打印返回数据
}
});
}
</script>
</body>
</html>
复杂请求
复杂请求:两次请求,在发送数据之前会先发一次OPTIONS请求用于做“预检”,只有“预检”通过后才再发送一次请求用于数据传输。
self.set_header('Access-Control-Allow-Origin', "http://www.xxx.com") 预检请求或者数据请求时允许跨域,允许跨域的域名(多个逗号隔开)(*标识所有域名允许)
self.set_header('Access-Control-Allow-Headers', "k1,k2") 预检请求时允许请求页面ajax设置请求头headers属性跨域,允许跨域的headers属性请求头(多个逗号隔开)
self.set_header('Access-Control-Allow-Methods', "PUT,DELETE") 预检请求时允许请求页面的请求方式跨域,允许跨域的请求方式(多个逗号隔开)
self.set_header('Access-Control-Max-Age', 10) 预检请求时设置预检有效时间,如设置10,表示这次预检后10秒后的请求再次预检
响应端
#!/usr/bin/env python
#coding:utf-8 import tornado.ioloop
import tornado.web #导入tornado模块下的web文件 class fwdHandler(tornado.web.RequestHandler):
def get(self): #接收get请求
pass
def options(self): #接收预检的options请求
self.set_header('Access-Control-Allow-Origin', '*') #预检请求或者数据请求时允许跨域,允许跨域的域名(多个逗号隔开)(*标识所有域名允许)
self.set_header('Access-Control-Allow-Methods', 'PUT') #预检请求时允许请求页面的请求方式跨域,允许跨域的请求方式(多个逗号隔开)
self.set_header('Access-Control-Allow-Headers', "k1,k2") #预检请求时允许请求页面ajax设置请求头headers属性跨域,允许跨域的headers属性请求头(多个逗号隔开)
def put(self):
self.set_header('Access-Control-Allow-Origin','*')
self.write("{'k1':'v1'}") # 返回数据 settings = { #html文件归类配置,设置一个字典
"template_path":"views", #键为template_path固定的,值为要存放HTML的文件夹名称
"static_path":"statics", #键为static_path固定的,值为要存放js和css的文件夹名称
} #路由映射
application = tornado.web.Application([ #创建一个变量等于tornado.web下的Application方法
(r"/fwd", fwdHandler),
],**settings) #将html文件归类配置字典,写在路由映射的第二个参数里 if __name__ == "__main__":
#内部socket运行起来
application.listen(8001) #设置端口
tornado.ioloop.IOLoop.instance().start()
请求页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>
</head>
<body>
<input type="button" value="跨域提交" onclick="doajax();"/>
<script>
function doajax() { //当点击提交按钮是执行函数
$.ajax({
type: 'PUT', //复杂请求
url: 'http://www.fwd.com:8001/fwd',
headers: {'k1': 'qqtou'}, //设置请求头
data: {"a":'b'},
success: function (response, status, xhr) {
alert(response); //打印返回数据
}
});
}
</script>
</body>
</html>
跨域传输cookie
在跨域请求中,默认情况下,HTTP Authentication信息,Cookie头以及用户的SSL证书无论在预检请求中或是在实际请求都是不会被发送。
如果想要发送:
浏览器端ajax属性:xhrFields的withCredentials为true
服务器端的预检请求和数据请求:Access-Control-Allow-Credentials为true
注意:服务器端响应的 Access-Control-Allow-Origin 不能是通配符 *
响应端
/usr/bin/env python
#coding:utf-8 import tornado.ioloop
import tornado.web #导入tornado模块下的web文件 class fwdHandler(tornado.web.RequestHandler):
def get(self): #接收get请求
pass
def options(self): #接收预检的options请求
self.set_header('Access-Control-Allow-Credentials', "true") #传递Cookie头以及用户的SSL证书
self.set_header('Access-Control-Allow-Origin', 'http://www.khd.com:8002') #预检请求或者数据请求时允许跨域,允许跨域的域名
self.set_header('Access-Control-Allow-Methods', 'PUT') #预检请求时允许请求页面的请求方式跨域,允许跨域的请求方式(多个逗号隔开)
self.set_header('Access-Control-Allow-Headers', "k1,k2") #预检请求时允许请求页面ajax设置请求头headers属性跨域,允许跨域的headers属性请求头(多个逗号隔开)
def put(self):
self.set_header('Access-Control-Allow-Credentials', "true") # 传递Cookie头以及用户的SSL证书
self.set_header('Access-Control-Allow-Origin','http://www.khd.com:8002')
self.write("{'k1':'v1'}") # 返回数据
self.set_cookie('kkkkk', 'vvvvv') #写入cookie
print(self.get_cookie('kkkkk')) #获取cookie settings = { #html文件归类配置,设置一个字典
"template_path":"views", #键为template_path固定的,值为要存放HTML的文件夹名称
"static_path":"statics", #键为static_path固定的,值为要存放js和css的文件夹名称
} #路由映射
application = tornado.web.Application([ #创建一个变量等于tornado.web下的Application方法
(r"/fwd", fwdHandler),
],**settings) #将html文件归类配置字典,写在路由映射的第二个参数里 if __name__ == "__main__":
#内部socket运行起来
application.listen(8001) #设置端口
tornado.ioloop.IOLoop.instance().start()
请求页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script type="text/javascript" src='{{static_url("jquery.min.js")}}' charset="UTF-8"></script>
</head>
<body>
<input type="button" value="跨域提交" onclick="doajax();"/>
<script>
function doajax() { //当点击提交按钮是执行函数
$.ajax({
type: 'PUT', //复杂请求
url: 'http://www.fwd.com:8001/fwd',
headers: {'k1': 'qqtou'}, //设置请求头
xhrFields:{withCredentials: true}, //传递Cookie头以及用户的SSL证书
data: {"a":'b'},
success: function (response, status, xhr) {
alert(response); //打印返回数据
}
});
}
</script>
</body>
</html>
self.set_header('xxoo', "bili") 设置响应头第一个是响应头名称,第二个是响应头值
self.set_header('Access-Control-Expose-Headers', "xxoo,bili") 允许设置的响应头,请求端获取
#!/usr/bin/env python
#coding:utf-8 import tornado.ioloop
import tornado.web #导入tornado模块下的web文件 class fwdHandler(tornado.web.RequestHandler):
def get(self): #接收get请求
pass
def options(self): #接收预检的options请求
self.set_header('Access-Control-Allow-Credentials', "true") #传递Cookie头以及用户的SSL证书
self.set_header('Access-Control-Allow-Origin', 'http://www.khd.com:8002') #预检请求或者数据请求时允许跨域,允许跨域的域名
self.set_header('Access-Control-Allow-Methods', 'PUT') #预检请求时允许请求页面的请求方式跨域,允许跨域的请求方式(多个逗号隔开)
self.set_header('Access-Control-Allow-Headers', "k1,k2") #预检请求时允许请求页面ajax设置请求头headers属性跨域,允许跨域的headers属性请求头(多个逗号隔开)
def put(self):
self.set_header('Access-Control-Allow-Credentials', "true") # 传递Cookie头以及用户的SSL证书
self.set_header('Access-Control-Allow-Origin','http://www.khd.com:8002')
self.set_header('xxoo', "bili") #设置响应头第一个是响应头名称,第二个是响应头值
self.set_header('Access-Control-Expose-Headers', "xxoo,bili") #允许设置的响应头,请求端获取 self.write("{'k1':'v1'}") # 返回数据
self.set_cookie('kkkkk', 'vvvvv') #写入cookie
print(self.get_cookie('kkkkk')) #获取cookie settings = { #html文件归类配置,设置一个字典
"template_path":"views", #键为template_path固定的,值为要存放HTML的文件夹名称
"static_path":"statics", #键为static_path固定的,值为要存放js和css的文件夹名称
} #路由映射
application = tornado.web.Application([ #创建一个变量等于tornado.web下的Application方法
(r"/fwd", fwdHandler),
],**settings) #将html文件归类配置字典,写在路由映射的第二个参数里 if __name__ == "__main__":
#内部socket运行起来
application.listen(8001) #设置端口
tornado.ioloop.IOLoop.instance().start()
第二百七十四节,同源策略和跨域Ajax的更多相关文章
- 第三百七十四节,Django+Xadmin打造上线标准的在线教育平台—创建课程app,在models.py文件生成4张表,课程表、课程章节表、课程视频表、课程资源表
第三百七十四节,Django+Xadmin打造上线标准的在线教育平台—创建课程app,在models.py文件生成4张表,课程表.课程章节表.课程视频表.课程资源表 创建名称为app_courses的 ...
- 第一百七十四节,jQuery,Ajax进阶
jQuery,Ajax进阶 学习要点: 1.加载请求 2.错误处理 3.请求全局事件 4.JSON 和 JSONP 5.jqXHR 对象 在 Ajax 课程中,我们了解了最基本的异步处理方式.本章,我 ...
- 第二百七十四、五、六天 how can I 坚持
三天小长假这么快就过去了,好快啊.基本都是在济南过的. 元旦.坐车回济南.下午在万科新里程看了一下午房子,没有买啊,93的现在八千六七,有点贵啊,户型也不是自己喜欢的. 晚上一块吃了个饭,还行,晚上在 ...
- 第二百六十四节,Tornado框架-基于正则的动态路由映射分页数据获取计算
Tornado框架-基于正则的动态路由映射分页数据获取计算 分页基本显示数据 第一步.设置正则路由映射配置,(r"/index/(?P<page>\d*)", inde ...
- 第二百二十四节,jQuery EasyUI,ComboGrid(数据表格下拉框)组件
jQuery EasyUI,ComboGrid(数据表格下拉框)组件 学习要点: 1.加载方式 2.属性列表 3.方法列表 本节课重点了解 EasyUI 中 ComboGrid(数据表格下拉框)组件的 ...
- 第二百七十九节,MySQL数据库-pymysql模块操作数据库
MySQL数据库-pymysql模块操作数据库 pymysql模块是python操作数据库的一个模块 connect()创建数据库链接,参数是连接数据库需要的连接参数使用方式: 模块名称.connec ...
- 第二百七十五节,MySQL数据库安装和介绍
MySQL数据库安装 一.概述 1.什么是数据库 ? 答:数据的仓库,称其为数据库 2.什么是 MySQL.Oracle.SQLite.Access.MS SQL Server等 ? 答:他们均是一种 ...
- 第二百三十四节,Bootstrap表单和图片
Bootstrap表单和图片 学习要点: 1.表单 2.图片 本节课我们主要学习一下 Bootstrap 表单和图片功能,通过内置的 CSS 定义,显示各 种丰富的效果. 一.表单 Bootstrap ...
- 第二百七十六节,MySQL数据库,【显示、创建、选定、删除数据库】,【用户管理、对用户增删改查以及授权】
MySQL数据库,[显示.创建.选定.删除数据库],[用户管理.对用户增删改查以及授权] 1.显示数据库 SHOW DATABASES;显示数据库 SHOW DATABASES; mysql - 用户 ...
随机推荐
- 【转】如何成为Python高手
http://www.aqee.net/how-to-become-a-proficient-python-programmer/ 这篇文章主要是对我收集的一些文章的摘要.因为已经有很多比我有才华的人 ...
- Java 并发:内置锁 Synchronized
摘要: 在多线程编程中,线程安全问题是一个最为关键的问题,其核心概念就在于正确性,即当多个线程訪问某一共享.可变数据时,始终都不会导致数据破坏以及其它不该出现的结果. 而全部的并发模式在解决问题时,採 ...
- Qt Multimedia Backends(多媒体后端)翻译
目录 MediaService plugins 媒体服务插件 不同后端支持的媒体播放器功能: 后端支持的摄像头(相机)功能 后端支持的音频解码功能 Audio plugins 音频插件 原文地址: Q ...
- html单行注释符号
html单行注释符号 2014-10-02 15:33 来源: IT技术学习网原创 阅读: 589 说到html的单行注释,比较特别,html中确确实实没有专门的单行注释符号.不管是//还是#,在 ...
- 偏最小二乘回归(PLSR)- 2 标准算法(NIPALS)
1 NIPALS 算法 Step1:对原始数据X和Y进行中心化,得到X0和Y0.从Y0中选择一列作为u1,一般选择方差最大的那一列. 注:这是为了后面计算方便,如计算协方差时,对于标准化后的数据,其样 ...
- 纯CSS实现蜂窝六边形的个性相册
概述 纯CSS实现蜂窝六边形的个性相册 详细 代码下载:http://www.demodashi.com/demo/12804.html 此案例主要用到CSS3的 transform 和 transi ...
- ASP.NET总结
ASP.NET已经学习完.学牛腩的时候面对一些控件和方法会用,但对当中的原理还不懂.学习这部分的内容时, 从头到尾都有一种相识的感觉,把之前一些不懂得地方也理解了,每个知识都有相应的样例练习,学起来还 ...
- Silver Cow Party
Description One cow from each of N farms (1 ≤ N ≤ 1000) conveniently numbered 1..N is going to atten ...
- jQuery常用方法一览及JQuery选择器获取表格中按钮所在行的其他列值
Attribute: $(”p”).addClass(css中定义的样式类型); 给某个元素添加样式$(”img”).attr({src:”test.jpg”,alt:”test Image”}); ...
- Spring Cloud(三):服务提供与调用
上一篇文章我们介绍了eureka服务注册中心的搭建,这篇文章介绍一下如何使用eureka服务注册中心,搭建一个简单的服务端注册服务,客户端去调用服务使用的案例. 案例中有三个角色:服务注册中心.服务提 ...