一、浏览器同源政策
“同源”:协议相同、域名相同、端口相同。
1995年,同源政策由Netscape公司引入浏览器,最初的目的是某页面所设置的cookie,只能由其“同源”页面打开。如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个
目的:同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
限制:随着互联网的发展,"同源政策"越来越严格。目前,如果非同源,共有三种行为受到限制:
(1)Cookie、LocalStorage 和 IndexDB 无法读取。
(2)DOM 无法获得。
(3)AJAX 请求不能发送。
不相同,就是不同源。
二、Ajax跨域
Ajax跨域指的是将Ajax请求进行跨域处理,而不是说在Ajax中提供了跨域的方法。同源政策中明确规定Ajax请求只能发给同源的网址,否则就会发生跨域报错。除了设置代理之外页面中有三种常见的解决跨域的手段,
①设置服务端响应头
②代理
③JSONP
三、JSONP跨域(get)
JSONP是服务器与客户端跨源通信的最常用方法。最大特点就是简单适用,老式浏览器全部支持,对服务器改造非常小。
本质:实际上利用了script标签引入js文件,并解析执行的原理。
使用方法:
①、在html中插入script标签,并利用script标签发起跨源请求
②、在服务器对应php文件中通过拼接字符串,模拟函数调用。并将要返回数据通过回调函数参数返回。
③、在html页面中,显式写出回调函数。这样当跨源请求完成后对应回调函数会自动执行。
划重点 面试题!!!
为什么JSONP不是真正的AJAX?
JSONP是通过Script中的SRC属性携带参数传递数据,跟XMLHttpRequest对象没有任何关系。
实质不同:
ajax的核心是通过xmlHttpRequest获取非本页内容 。
jsonp的核心是动态添加script标签调用服务器提供的js脚本 。
jsonp只支持get请求,ajax支持get和post请求。
291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
