js-22同源策略

最新推荐文章于 2024-01-22 08:00:00 发布
最新推荐文章于 2024-01-22 08:00:00 发布
阅读量938 收藏
点赞数
分类专栏: js 文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Charlotte_99/article/details/128109238
版权

01同源策略

含义:同源策略是浏览器的一个安全功能,不同源的网页脚本在没有明确授权的情况下,不能读写对方资源。所谓同源是指"协议+域名+端口"三者相同

​```
1. 浏览器的一个安全功能
	如果不使用浏览器此安全策略对你没影响
2. 同源  "协议+域名+端口"
http://www.baidu.com:80/index.html  => http://www.baidu.com:80/productlist

                                    => http://www.baidu.com:8080/productlist

                                    => http://www.sina.com:80/productlist

                                    => https://www.sina.com:80/productlist
            
3. 不同源的网页脚本在没有明确授权的情况下,不能读写对方资源。
​```
1. 浏览器的一个安全功能
	如果不使用浏览器此安全策略对你没影响
2. 同源  "协议+域名+端口"
http://www.baidu.com:80/index.html  => http://www.baidu.com:80/productlist

                                    => http://www.baidu.com:8080/productlist

                                    => http://www.sina.com:80/productlist

                                    => https://www.sina.com:80/productlist
            
3. 不同源的网页脚本在没有明确授权的情况下,不能读写对方资源。

02跨域

含义: 使用AJAX技术(XMLHttpRequest 对象),从一个网页去请求另一个网页资源时,违反浏览器同源策略限制,         引起的安全问题,称为跨域  

备注:localhost和127.0.0.1虽然都指向本机,但也属于跨域

1.跨域错误
	前后端分离项目:by CORS policy: No 'Access-Control-Allow-Origin'
2.解决跨域的方案:
	- 跨域资源共享 cors
            + 服务端设置,允许其它源访问服务端资源
            + nodejs实现:CORS 跨域资源共享
              response.setHeader('Access-Control-Allow-Origin', '*')

	- 不使用ajax技术 -> 使用jsonp技术
        
	- 代理服务器

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BGDnD5Mp-1669771511418)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\1649307607396.png)]

03jsonp技术【面试题考试题】

 jsonp技术基本原理
           1.利用HTML<script>标签天生可以跨域这一特点,用其加载另一个域的json数据.
           2.加载完成后会自动运行一个回调函数通知调用者。此过程需要另一个域的服务端支持
        jsonp技术实现 【大厂面试】
             jsonp条件:
                1. 服务端支持
                     响应数据包裹在一个函数中返回
                       {
                          resultCode:1,
                          resultInfo:{
                              username:'admin',
                              age:18
                          }
                       }
                      这种形式:
                      callBack({
                          resultCode:1,
                          resultInfo:{
                              username:'admin',
                              age:18
                          }
                       })

                2. 前端 后端反馈callback函数,调用显示数据 此函数自己执行
                    function callBack(data){

                    }

          缺点:
            只支持get请求

【掌握】json技术实现

<button class="btn">确定</button>
    <script>
        const btn = document.querySelector('.btn')
        btn.addEventListener('click', function () {
            getProductList('http://10.7.178.115:8088/api/jsonp/list')
        })

        /*
          发生jsonp请求
            实现原理: 动态构造script标签,将请求url接口地址作为script属性src值
        */
        function getProductList(url) {
            //动态创建script标签
            let scriptEle = document.createElement('script') //<script>
            scriptEle.setAttribute('src', url)
            document.body.appendChild(scriptEle)
        }

        /*
         jsonp响应数据:
           callBack 由后端提供
        */
        function callback(result) {
            console.log(result);
        }
        </script>

练习:
      使用jsonp技术请求用户列表接口数据
         接口地址: http://10.7.178.115:8088/api/jsonp/list
         响应数据函数名为: callback

      扩展: 使用面向对象class封装实现
class1:
    class onResponse{
                //发送请求
                send(url){
                     //动态创建script标签
                    let scriptEle = document.createElement('script') //<script>
                    scriptEle.setAttribute('src', url)
                    document.body.appendChild(scriptEle)
                    //callback只能在这里调用
                    window.callback = function(data){
                        console.log(data) //callback是window对象
                    }
                }
          }
      
      
class2:回调函数的实现
      class onResponse{
      		//发送请求
      		send(url){
      			 //动态创建script标签
                let scriptEle = document.createElement('script') //<script>
                scriptEle.setAttribute('src', url)
                document.body.appendChild(scriptEle)
      		}
            //处理异步请求结果数据
           responseDate(callResault){
               window.callback = function(data){
                  callResault(data)
               }
           }	
          
      }
var jsonpObj = new onResponse()
jsonpObj.send(' http://10.7.178.115:8088/api/jsonp/list')
jsonpObj.responseDate(function(data){
    console.log(data)
})

04回调函数

 回调函数:
           一个函数作为另一个函数的参数,在另一个函数中调用,这样的函数称为回调函数
           解决问题:
             处理异步请求结果

05同步和异步

同步与异步
           同步: 一件事情做完才能开始下一件事
           异步: 多个事情同时并发执行
异步操作:
	当一个操作开始执行后,主程序无需等待它的完成,可以继续向下执行。
    此时该操作可以跟主程序同时(并发)执行。
异步任务:
	ajax异步网络通讯技术
	setTimeout 异步任务
    
问题: 异步任务完成后返回结果处理问题?
解决办法: 回调函数   (回调函数可以解决异步任务问题
ex:
console.log('准备茶叶 2分钟');
setTimeout(function(){	
	console.log('准备烧水 10分钟');
},0)
console.log('泡茶 1分钟');

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eIBZ3taW-1669771511419)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\1649316914149.png)]

06ajax封装

1.为什么要封装AJAX?
每次ajax请求都要重复:    
- 创建XMLHttpRequeset对象,
- 与服务器建立连接,
- 发送请求,
- 处理响应数据。

可以将每次请求的不同点,
如url地址、请求方法和处理响应方式提取出来,封装成工具函数


ajax({
            method:'post',
            url:'http://127.0.0.1:8088/api/login',
            //参数
            data:{
                username:'admin',
                password:123
            },
            success:function(data){
                //成功处理
                console.log('成功',data);
            },
            error:function(error){
                //失败处理
                console.log('失败',error)
            }
        })
//处理数据对象 - 转变 - 键值对的形式
        function formateParam(data){
            let arr = []
            //遍历对象的属性
            for(let key in data){ //data:{username:'admin',password:123}
                arr.push(`${key}=${data[key]}`)  
            }
            return arr.join('&') //'username='admin'&password=123
        }
function ajax(options){
            //1.ajax对象
            let xhr = new window.XMLHttpRequest()
            //2.链接服务器
            let params = formateParam(options.data)
            //3.建立链接
            let method = options.method.toUpperCase() //请求方法统一大写
            if(method == 'GET'){
                xhr.open(method,options.url + '?' + params)
                xhr.send()
            }else if(method == 'POST'){
                xhr.open(method,options.url)
                //设置表
                xhr.setRequestHeader('content-type','application/x-www-form-urlencoded')
                xhr.send(params)
            }
            //4.处理响应数据
            xhr.onreadystatechange = function(){
                //就绪
                if(xhr.readyState == 4){
                    //状态
                    if(xhr.status == 200){
                        let data = xhr.responseText
                        options.success(data)
                    }else{
                        options.error('网络请求失败')
                    }
                }
            }

        }

if(xhr.status == 200){
                    let data = xhr.responseText
                    options.success(data)
                }else{
                    options.error('网络请求失败')
                }
            }
        }

    }
橘 日向
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js同源策略详解
12-10
本文较为详细的分析了js同源策略。分享给大家供大家参考。具体如下: 概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个...
第八节 浏览器同源策略介绍-01
09-15
浏览器同源策略介绍 浏览器同源策略是计算机安全领域中的一种重要机制,旨在阻止恶意代码在不同源之间进行非法操作。同源策略(Same-origin Policy,SOP)是浏览器安全机制中的一部分,用于阻止来自不同源的页面...
同源策略与跨域的解决方案
失眠时间的博客
05-12 1727
总所周知,同源策略是导致跨域的原因,那么什么是同源策略,又可以如何解决跨域的问题呢?咱们一起往下探讨吧~当浏览器中一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。用户在使用浏览器的情况下会使用到 CORS,因为控制访问权限的是浏览器而非服务器。因此使用其它客户端的时候无需关心任何跨域问题。同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。
什么是javascript同源策略
最新发布
zz_ll9023的博客
01-22 502
同样地,如果一个页面从http://example.com加载,并且尝试执行来自http://subdomain.example.com的JavaScript代码,浏览器也会阻止这种行为,因为主机名不同。如果一个页面从http://example.com加载,并且尝试执行来自https://example.com的JavaScript代码,浏览器会阻止这种行为,因为协议不同。假设有两个网站,一个是http://example.com,另一个是https://example.com。
请解释一下 JavaScript同源策略
php_martin的博客
08-05 222
请解释一下 JavaScript同源策略
JavaScriptJSONP和同源策略
ITjun666的博客
11-01 115
JavaScriptjsonp和同源策略!
JavaScript基础--同源策略与跨域及解决方案
weixin_50909662的博客
11-01 381
同源策略 概念: 同源策略是浏览器的一个安全功能,不同源的网页脚本在没有明确授权的情况下,不能读写对方资源,所谓同源是指"协议+域名+端口"三者相同。 跨域 概念: 使用AJAX技术(XMLHttpRequest 对象),从一个网页去请求另一个网页资源时,违反浏览器同源策略限制,引起的安全问题,称为跨域。 ①域名: 主域名不同 http://www.baidu.com/index.html –>http://www.sina.com/test.js ...
JavaScript同源策略和跨域访问实例详解
10-18
JavaScript同源策略和跨域访问是Web开发中的关键概念,它们直接影响到网页中不同源之间的交互能力。同源策略是浏览器为了保护用户隐私和数据安全而设立的一项机制,它规定只有当页面的协议、域名和端口完全相同时,...
深入浅析同源策略和跨域访问
11-22
1. 什么是同源策略   理解跨域首先必须要了解同源策略同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。  何谓同源:  URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则...
js同源策略
李天下
10-02 965
同源策略的概念和具体限制 同源策略:限制从一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的关键的安全机制。(来自MDN官方的解释) 简单来说就是:一段脚本只能读取来自于同一来源的窗口和文档的属性,这里的同一来源指的是主机名、协议和端口号的组合 具体解释: (1)源包括三个部分:协议、域名、端口(http协议的默认端口是80)。如果有任何一个部分不同,则源不同,...
JS | 同源策略 & Document​.domain
GC怪兽的Blog
04-19 505
什么是源 如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源。我们也可以把它称为“协议/主机/端口 tuple”,或简单地叫做“tuple". (“tuple” ,“元”,是指一些事物组合在一起形成一个整体,比如(1,2)叫二元,(1,2,3)叫三元) 什么是同源策略同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.co...
javascript同源策略
summergreenhtml的博客
09-17 930
同源策略限制了一个源(origin)中加载文本或脚本与来自其它源(origin)中资源的交互方式。 同源定义 一.什么是同源策略    同源策略,它是由Netscape提出的一个著名的安全策略,现在所有的可支持javascript的浏览器都会使用这个策略。   为什么需要同源策略,这里举个例子:   假设现在没有同源策略,会发生什么事情呢?大家知道,JavaScript可以做很多东西,
JS-同源策略
qq_36631168的博客
11-11 253
概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。 这里的同源策略指的是:协议,域名,端口相同,同源策略是一种安全协议。 指一段脚本只能读取来自同一来源的窗口和文档的属性。
什么是JavaScript同源策略
愚公的博客
11-23 1177
概念: 同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。 这里的同源策略指的是:协议,域名,端口相同,同源策略是一种安全协议,指一段脚本只能读取来自同一来源的窗口和文档的属性。 为什么要有同源限制: 我们举例说明:比如一个黑客程序,他利用Iframe把真正的银行登录页面嵌到他的页面上,当你使用真实的用户名,密码登录时,他的页面就可以通过Javascript读取到你的表单中in
js同源策略?
梦里梦一的博客
08-09 888
前言:对这块的了解比较浅薄,随后填坑. 概念 同源策略是浏览器的一个安全机制,只有同协议,同域名,同端口才会被视为同源. 产生原因 js可以操作web页面的内容,如果不加限制,各家网站页面则无安全可言. 应用场景 目前所知,同源协议阻止了ajax的跨域,我们不能轻易拿到别家网站的数据....
14.(问答题)请解释一下 JavaScript同源策略
weixin_46281185的博客
10-27 98
参考答案:同源策略是客户端脚本(尤其是 Javascript)的重要的安全度量标准。它最早出自 Netscape Navigator2. 0,其目的是防止某个文档或脚本从多个不同源装载。所谓同源指的是:协议,域名,端口相同,同源策略是一种安全协议,指一段脚本只能读取来自同一来源的窗口和文档的属性。 参与互动 ...
JavaScript同源策略
山水子农
08-15 960
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。 示例:来自h
JS面试题
w_cyj的博客
09-06 1230
apply和call方法的异同 相同点:两个方法产生的作用是完全—样的,都是改变this指向,第—个参数都是对象 不同点: call()方法参数将依次传递给借用的方法作参数,即fn.call(thisobj, arg1,arg2,arg3…argn),有n个参数 apply()方法第—个参数是对象,第二个参数是数组fn.apply(thisobj,arg),此处的arg是—个数组,只有两个参数 2.懒加载原理和应用 概念:对于页面有很多静态资源的情况下(比如网商购物页面),为了节省用户流量.
JavaScript同源策略
yuxiayiji的专栏
09-25 990
同源策略限制了一个源(origin)中加载文本或脚本与来自其它源(origin)中资源的交互方式。 同源定义 如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin)。 下表给出了相对http://store.company.com/dir/page.html同源检测的示例: URL 结果 原因
使用el-upload上传文件被同源策略
05-13
同源策略是浏览器的安全策略,限制了不同源(协议、域名、端口号有任何一个不同)之间的请求和数据访问。如果你的上传请求和页面不在同一个域名下,就会被同源策略拦截。 解决方法: 1. 将上传请求和页面部署在同一个域名下; 2. 在上传请求的响应头中添加 Access-Control-Allow-Origin 字段,允许跨域访问。例如,如果上传请求的域名为 http://upload.example.com,那么可以在响应头中添加以下字段: ``` Access-Control-Allow-Origin: http://www.example.com ``` 其中,http://www.example.com 是允许跨域访问的域名。 如果你使用的是 Vue.js 的 el-upload 组件,可以在上传组件的 headers 属性中设置响应头,例如: ``` <el-upload :headers="{'Access-Control-Allow-Origin': 'http://www.example.com'}" > <!-- 上传组件的内容 --> </el-upload> ``` 注意,这种方法需要上传服务端支持跨域访问并能够正确地返回响应头中的 Access-Control-Allow-Origin 字段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值