一、同源策略(Same-Origin Policy),是浏览器的一种安全策略.

1、同源(即url相同):协议、域名、端口号 必须完全相同。(请求是来自同一个服务)

2、跨域:违背了同源策略,即跨域。

3、ajax请求是遵循同源策略的。

■ 同源请求例子(在浏览器访问127.0.0.1:9000/server-orign,然后点击按钮发送同源请求):

  • 服务端对同源请求处理:

    //3、创建路由规则(request 是请求的报文,response是响应的报文)
    
app.get('/server-orign', (request, response) => {
    
    //响应一个页面
    
    response.sendFile(__dirname + '/同源策略.html');
    
});
    
app.get('/data', (request, response) => {
    
    //响应数据
    
    response.send('服务端返回的数据');
    
});

  • 客户端html:

        const btn = document.getElementsByTagName('button')[0];
    
    btn.onclick = function () {
    
        //console.log('测试');
    
        //发送ajax请求
    
        const xhr = new XMLHttpRequest();
    
        xhr.open('GET', '/data');//同源请求,路径可以简写
    
        xhr.send();
    
        xhr.onreadystatechange = function () {
    
           if(xhr.readyState === 4){
    
               if(xhr.status >= 200 && xhr.status < 300){
    
                   console.log(xhr.response);
    
               }
    
           }
    
        }
    
    }

二、解决跨域(JSONP、CORS)

1、非官方解决途径JSONP:

(1) JSONP 是什么?

JSONP(JSON with Padding),是一个非官方的跨域解决方案,只支持 get 请求

(2) JSONP 怎么工作的?

在网页有一些标签天生具有跨域能力,比如:img link iframe script。 JSONP 就是利用 script 标签

利用script的路径src作为请求路径,然后只需要服务端返回的数据封装成js代码即可

■ jsonp例子1:

  • 服务端处理,响应返回js代码(跟咱平时引入外部的js代码一样啦):
app.get('/jsonp', (request, response) => {

    //响应数据

    response.send('console.log("hello jsonp")');

});
  • 客户端处理:
<script src="http://127.0.0.1:9000/jsonp"></script>

■ jsonp例子2(验证用户名,显示密码):

  • 服务端处理:

    //服务端验证用户名
    
app.all('/check', (request, response) => {
    
    //响应数据
    
    // response.send('console.log("hello jsonp")');
    
    const data = {
    
        name:'admin',
    
        password:'123456'
    
    };
    
    let str = JSON.stringify(data);
    
    response.end(`handle(${str})`);//调用客户端(前端)的handle方法
    
});

  • 客户端处理:

      用户名: <input type="text" name="name"/>
    
  <p></p>

  <script>
    
    const input = document.getElementsByTagName('input')[0];
    
    const p = document.querySelector('p');

    //声明一个handle函数,用来给服务端调用,以处理服务端返回的数据
    
    function handle(data) {
    
        input.style.border = "solid 1px #f00";
    
        let username = input.value;
    
        //若用户名正确,将服务端返回的数据显示到p标签内
    
        if(username === data.name){
    
            p.innerHTML = data.password;
    
        }
    
    }

    input.onblur = function () {
    
        //向服务端发送请求(jsonp),检查用户是否存在
    
        const script = document.createElement('script');
    
        //设置script标签的src为ajax的url
    
        script.src = 'http://127.0.0.1:9000/check';
    
        //在界面生成dom元素
    
        document.body.appendChild(script);
    
    }
    
</script>

❀ jsop跨域访问第三方接口,请求成功,但是却拿不到数据?

从上面的例子可以看到当服务端是第三方(例如访问百度的快递接口:https://express.baidu.com/express/api/express),

通过jsonp跨域方式去访问第三方接口,结果:请求成功,状态码是200,但是无法拿到响应的数据

( 原因1:第三方服务在创建路由规则时,设置不允许跨域访问,所以提示CORB,无法直接拿到数据;

原因2:想通过script标签的 src='请求url' 引入服务端响应回来的js代码,但是且不知道第三方服务端响应时是怎么书写的,不知道回调了什么函数

总结:jsonp 解决跨域访问,除了类型是GET,还需要服务器的配合才能完成跨域

□ 咱自己的服务端没设置允许跨域访问,默认为不允许跨域访问

□ 但是咱设置了在服务端设置请求时响应回去一些js代码(handle函数的调用(data的json对象作为参数)的js代码

□ 在客户端咱通过 src='请求url' 引入服务端响应回来的js代码,而咱知道咱服务端响应回来一个handle函数的调用,所以咱在客户端定义了一个handle回调函数(handle函数的参数是响应回来的json格式的数据)。

2、官方解决途径CORS:

(1)CORS: Cross-Origin Resource Sharing 跨域资源共享, 即服务端设置响应头是允许跨域的

(2)CORS的更多介绍:跨源资源共享(CORS) - HTTP | MDN (mozilla.org)

  • 服务端cors跨域请求处理:

    app.all('/cors', (request, response) => {
    
    //设置响应头(允许跨域)
    
    response.setHeader('Access-Control-Allow-Origin', '*');
    
    // response.setHeader('Access-Control-Allow-Origin', 'http://127.0.0.1:9000);

    //设置响应头(允许自定义请求头)
    
    response.setHeader('Access-Control-Allow-Headers', '*');
    
    //设置响应头(允许自定义请求方式)
    
    response.setHeader('Access-Control-Allow-Method', '*');

    //设置响应体
    
    response.send('hello cors');
    
});

  • 客户端处理:

    <button>点击发送ajax请求</button>

<script>
    
    const btn = document.getElementsByTagName('button')[0];
    
    btn.onclick = function () {
    
        const xhr = new XMLHttpRequest();
    
        xhr.open('get', 'http://127.0.0.1:9000/cors');
    
        xhr.send();
    
        xhr.onreadystatechange = function () {
    
            if(xhr.readyState === 4){
    
                if(xhr.status >= 200 && xhr.status < 300){
    
                    console.log(xhr.response);
    
                }
    
            }
    
        }
    
    }
    
</script>

学习AJAX必知必会(4)~同源策略、解决跨域问题(JSONP、CORS)的更多相关文章

  1. 浏览器同源策略,跨域请求jsonp

    浏览器的同源策略 浏览器安全的基石是"同源政策"(same-origin policy) 含义: 1995年,同源政策由 Netscape 公司引入浏览器.目前,所有浏览器都实行这 ...

  2. 第二百七十四节,同源策略和跨域Ajax

    同源策略和跨域Ajax 什么是同源策略  尽管浏览器的安全措施多种多样,但是要想黑掉一个Web应用,只要在浏览器的多种安全措施中找到某种措施的一个漏洞或者绕过一种安全措施的方法即可.浏览器的各种保安措 ...

  3. JS同源策略和跨域问题

    同源策略和跨域问题:http://www.cnblogs.com/chaoyuehedy/p/5556557.html 深入浅出JSONP--解决ajax跨域问题:http://www.cnblogs ...

  4. 11. cookie_session_原生ajax_readyState的值_同源策略_跨域_jsonp的使用

    1. cookie 浏览器存储技术.(服务器将少量数据交于浏览器存储管理) 作用: 存储数据, 解决 http 协议无状态问题 工作流程: 浏览器发送请求给服务器,请求登录 服务器返回响应给浏览器,此 ...

  5. JS同源策略和跨域访问

    同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响.可以说Web是构建在同源策略基础之上的,浏览器只 ...

  6. Ajax_同源策略以及跨域问题

    Ajax_同源策略 同源策略是浏览器的一种安全策略, 同源指的是:协议.域名.端口.必须完全相同. 违背同源策略就是跨域. 而AJAX是默认遵循同源策略的: 同源说通俗一点呢就是页面跟获取请求的接口是 ...

  7. cors跨域和jsonp劫持漏洞 和 同源策略和跨域请求解决方案

    cors跨域和jsonp劫持漏洞: https://www.toutiao.com/a6759064986984645127/ 同源策略和跨域请求解决方案:https://www.jianshu.co ...

  8. 同源、同源策略、跨域问题、django解决方案

    什么是同源: URL由协议.域名.端口和路径组成,如果两个URL的协议.域名和端口相同,则表示他们同源. 注意:假如你的网站ip是123.123.123.123,网站的域名是www.abc.com. ...

  9. XSS中的同源策略和跨域问题

    转自 https://www.cnblogs.com/chaoyuehedy/p/5556557.html 1 同源策略 所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制.比如源a ...

  10. 同源策略、跨域、json和jsonp

    同源策略 源(origin)就是协议.域名和端口号.若地址里面的协议.域名和端口号均相同则属于同源. 以下是相对于 http://www.a.com/test/index.html 的同源检测 • h ...

随机推荐

  1. float浮动的详细总结

    float浮动的详细总结 1.定位方案 在css中,有4种常用的方法对元素进行定位和布局: normal flow:标准流.文档流: position:定位(relative.absolute.fix ...

  2. windows10 下使用 spdlog 总结(spdlog 1.7)

    !!版权声明:本文为博主原创文章,版权归原文作者和博客园共有,谢绝任何形式的 转载!! 作者:mohist 注意: 请选择对c++11 支持 完善的编译器, 为什么vs2013不行,因为: spdlo ...

  3. CMake之常用内置变量和message用法

    关于 cmake 定义了相当丰富的变量,然而,我常用的也就那几个 脑子笨,记不住变量的值时,我会使用cmake的message函数输出变量值 为什么要写这个? 最近尝试使用Modern CMake, ...

  4. 【LeetCode】面试题 16.11. 跳水板 Diving Board (Python)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客:http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 数学 日期 题目地址:https://leetcode ...

  5. 【LeetCode】141. Linked List Cycle 解题报告(Java & Python & C++)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 双指针 保存已经走过的路径 日期 [LeetCode ...

  6. 【LeetCode】51. N-Queens 解题报告(C++)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述 题目大意 解题方法 回溯法 日期 题目地址:https://leetco ...

  7. 【LeetCode】50. Pow(x, n) 解题报告(Python)

    作者: 负雪明烛 id: fuxuemingzhu 个人博客: http://fuxuemingzhu.cn/ 目录 题目描述: 题目大意 解题方法 递归 迭代 日期 题目地址: https://le ...

  8. 5G的到来

    通信改变未来,从古至今信息的传输和获取从来就没有缺少过,之所以谁能取得胜利就是谁掌握的资源多,其中信息资源尤为重要,只要获取到更多的信息你就能提前做出应对策略.因此未来一定是信息的未来,作为信息传输的 ...

  9. 第五十个知识点:什么是BLS基于对的签名方案?

    第五十个知识点:什么是BLS基于对的签名方案? BLS签名方案使用了椭圆曲线上了Weil对,本质上是一个在曲线上除n划分的双线性形式,使用 \(n^{th}\) 个单位根. 假设我们有一个椭圆曲线\( ...

  10. Improving Variational Auto-Encoders using Householder Flow

    目录 概 主要内容 代码 Tomczak J. and Welling M. Improving Variational Auto-Encoders using Householder Flow. N ...