跨域请求 JSONP & CORS

最新推荐文章于 2024-06-20 23:41:27 发布
最新推荐文章于 2024-06-20 23:41:27 发布
阅读量529 收藏
点赞数 3
分类专栏: Javascript web前端 文章标签: jsonp 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ryron/article/details/76561830
版权

跨域请求 JSONP & CORS

页面ajax跨域请求会受到浏览器同源策略的限制,不同协议、端口、主机(域名)等情况都会被限制。而在实际项目当中,跨域请求也经常会用到,常用的跨域请求有JSONP、CORS。

JSONP

浏览器对跨域ajax请求作限制,但是允许加载不同域静态文件,如css、js、img等。
如a.com加载b.com静态文件。

<script src="http://b.com/test.js"></script>
<img src="http://b.com/logo.png" alt="" title="" />
<link href="http://b.com/style.css" />

JSONP是利用浏览器的这一特性,将 script的src指向跨域的接口,并传递回调函数,接口返回的数据包含在回调函数的参数(JSON)里。script加载完成后会执行回调函数。

JSONP是JSON width padding 的简写,由回调函数和数据两部分组成。

// 前端代码
<script>
    // 定义回调函数
  function logInfo (data) {
    console.log(data);
  }
</script>
<script src="http://b.com/getUserInfo?callBack=logInfo"></script>
// 后端代码
router.get('/getUserInfo',  function(req, res, next) {
  // 回调函数
  let callBack = req.query.callBack;
  // JSON数据
  let data = {
    userName: '张三',
    age: 25
  };
  res.send(callBack + '(' + JSON.stringify(data) + ')');
});

代码简单实现


/**
 * JSONP跨域请求
 * @param  {String} url      请求地址
 * @param  {Object} params   请求参数
 * @param  {String} callBack 回调函数名
 */
function crossDomain (url, params, callBack) {
  let script;
  let query = '';
  for(k in params){
    query += k + '=' + params[k] + '&';
  };
  script = document.createElement('script');
  script.src = url + '?' + query + '&callBack=' + callBack;
  script.onload = function () {
    // do something
  };
  document.head.appendChild(script);
};

crossDomain('http://b.com/getUserInfo', {id: 1}, 'logInfo');

动态加载script后,浏览器会立即执行返回的js。

logInfo({"userName":"张三","age":25})

CORS

CORS(Cross-Origin Resource Sharing,跨域资源共享),通过自定义HTTP头部让浏览器与服务器进行沟通,判断request或response成功与否。
CORS 需要客户端与服务端同时支持,现在大部分浏览器都支持,早期IE8、IE9需要通过XDomainRequest实现。

客户端请求头设置

HTTP首部字段无须手动设置,在发起请求时自动设置。
跨域请求头部

Accept:application/json, text/javascript, */*; q=0.01
Accept-Encoding:gzip, deflate, br
Accept-Language:zh-CN,zh;q=0.8,en;q=0.6
Connection:keep-alive
Content-Type:application/x-www-form-urlencoded
Host:www.b.com
Origin:http://www.a.com
Referer:http://www.a.com/
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36

同域请求头部

Accept:application/json, text/javascript, */*; q=0.01
Accept-Encoding:gzip, deflate, br
Accept-Language:zh-CN,zh;q=0.8,en;q=0.6
Connection:keep-alive
Content-Type:application/x-www-form-urlencoded
Host:www.b.com
If-None-Match:W/"1d-ObzyCxC5+mC0i89GegH96w"
Referer:http://www.b.com/
User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36
X-Requested-With:XMLHttpRequest

跨域请求头部会被设置参数Origin:http://www.a.com,用于服务端判断是否允许跨域。

服务端响应头设置

服务端通过设置响应参数决定是否允许请求。

  • Access-Control-Allow-Origin 允许跨域请求源,如果是公共资源或不需要限制请求源可设置*
  • Access-Control-Allow-Methods 允许请求的方法,多个方法已逗号隔开
  • Access-Control-Allow-Headers 允许请求的头部,多个头部已逗号隔开
  • Access-Control-Max-Age 请求缓存多长时间

以Access-Control-Allow-Origin为例的跨域过程。如果感兴趣,可以查看下COR的实现方式。
imgage

JSONP 与 CORS 区别

JSONP与跨域资源共享(CORS)同样可实现跨域请求,CORS通过设置相应头(请求头无须手动设置),从而避开浏览器的同源策略。

  • JSONP只支持GET请求,而 CORS 支持其他HTTP请求(如POST)
  • JSONP是利用浏览器加载跨域静态文件实现,而CORS是通过XMLHttpRequest(IE8、9通过XDomainRequest)请求实现

参考文献

MDN
JavaScript高级程序设计(第3版)

Ryron
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CORS 跨站访问 origin头 和 跨域 referer 头的配置
吃个榴莲压压鲸的博客
09-15 4199
cors 全局配置文件中,加入域名白名单 private RefererProperties properties private CorsConfiguration buildConfig(){ List<String> stelist = properties.getRefererDomain(); CorsConfiguration corsConfiguration = new CorsConfiguration(); if(CollectionUti..
CORS解决跨域问题
张云飞Vir的专栏
03-25 331
0. 背景 浏览器中,网站A的网络请求访问网站A的资源(图片,HTTP请求)是很顺畅的,而想访问网站B的资源,就要面对跨域资源访问的问题了。面对跨域问题,有很多的解决方案,本文讨论使用 CORS 来解决的方案。 本文结构 1. 什么是跨域问题,什么是同源策略 1.1 不同源则触发一个跨域的HTTP请求 1.2 同源策略 1.3 源 2. CORS 概述 3. CORS ...
深入理解Content-Type:常见的几种类型及其使用场景解析
最新发布
辰兮要努力
06-20 1367
深入理解Content-Type:常见的几种类型及其使用场景解析
前后端分离项目自定义请求头CORS跨域问题
Tommy·Vercetti 的博客
08-13 1735
前后端分离项目中需要自定义请求头token安全的传输秘钥,前端的自定义秘钥会被;浏览器看做是一个跨域问题,如果不解决将会报CORS,检查后端的拦截器有没有错误: package com.tommy.common; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; pu
CORS——跨域请求那些事儿
weixin_33730836的博客
02-08 656
【本期嘉宾介绍】睿得,具有多年研发、运维、安全等IT相关从业经历。目前从事CDN、存储、视频直播点播的技术支持。喜爱钻研,喜爱编码,喜爱分享。 在日常的项目开发时会不可避免的需要进行跨域操作,而在实际进行跨域请求时,经常会遇到类似 No 'Access-Control-Allow-Origin' header is present on the ...
深入跨域问题(3) - 利用 JSONP 解决跨域
m0_68997646的博客
01-22 1732
深入跨域问题(3) - 利用 JSONP 解决跨域
跨域请求资源-jsonpcors区别.pdf
04-09
### 跨域请求资源——JSONPCORS的区别 #### 一、跨域的基本概念 在Web开发中,“跨域”是指从一个域名发起请求到另一个域名。这主要是因为浏览器出于安全考虑实施了**同源策略**(Same-Origin Policy)。同源...
跨域解决之JSONPCORS的详细介绍
01-19
JSONP跨域CORS跨域 什么是跨域跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:域名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
SpringBoot跨域JsonpCors的方法
10-16
JSONP适用于简单的GET请求和广泛的浏览器支持,而CORS则是更现代、更安全的选择,支持多种HTTP方法和更复杂的跨域场景。在实际项目中,应根据应用的需求和目标用户的浏览器兼容性来选择合适的方案
同源策略+跨域+jsonp+cors
08-29
同源策略和跨域以及解决跨域的两种方式
快速解决跨域请求问题:jsonpCORS
10-18
主要介绍了快速解决跨域请求问题:jsonpCORS,涉及jsonpCORS的介绍,分享了前端 jQuery 写法,后端 SpringMVC 配置,后端非 SpringMVC 配置等相关内容,具有一定借鉴价值,需要的朋友可以参考下。
记录一次由br引起的乱码问题
Hubz131的博客
08-14 2505
一、先上原始代码 import requests,time,json import urllib3 urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) _headers = { 'accept':'application/json, text/javascript, */*; q=0.01', 'accept...
HTTP请求响应的header头解析
AIGC大前端小王子
12-22 550
本文主要介绍HTTP请求的header头解析 以百度为例 www.baidu.com Accept: application/json, text/javascript, */*; q=0.01 Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,zh-TW;q=0.7 Connection: keep-alive Cookie: BIDUPSID=1C8B4AA7FFA10A4883BE1E8352A.
ajax发送参数到后端,ajax 发送post 请求,后台不能获取到参数
weixin_39950552的博客
08-05 904
45 回复贴代码用 "插入代码" 按钮, 重新贴一下吧, 还有后台日志也要贴一下@At@Ok("json")public Object login(@Param("username") String username,@Param("password") String password, Ioc ioc, HttpServletRequest req) {NutMap re = new NutMa...
HTTP请求头和响应头
Rulelur的博客
12-12 3426
请求头 Accept:浏览器可接受的MIME类型。 就是希望服务器返回什么类型数据,比如application/json,text/html,image/png,*/* Accept:application/json, text/javascript, */*; q=0.01 q是Quality values,权重系数,范围 0 =< q <= 1,q 值越大,请求越倾向于获得其“;”之前的类型表示的内容,若没有指定 q 值,则默认为1,若被赋值为0,则用于提醒服务器哪些是浏览器不接
跨域CORS有关的几个请求头和响应头请求头
混世小妲己
11-09 3011
参考: https://blog.csdn.net/qq_29923881/article/details/103510440 解释:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Access-Control-Max-Age 结论: 请求头 响应头 Origin Access-Control-Allow-Credentials Access-Control-Request-Headers Access-Control-
Ajax跨域问题解决(Ajax JSONP
热门推荐
小单的博客专栏
03-01 1万+
因WEB安全原因,Ajax默认情况下是不能进行跨域请求的,遇到这种问题,自然难不倒可以改变世界的程序猿们,于是JSONP(JSON with Padding)被发明了,其就是对JSON的一种特殊,简单来说就是在原有的JSON数据上做了点手脚,从而达到可以让网页可以跨域请求。在现在互联网技术对“前后分离”大规模应用的时期,JSONP可谓意义重大啊。假设我们原来的JSON数据为 {“hello”:”你好
设置CORS响应头实现跨域(含CORS含义及原理)
unlilalila的博客
11-02 4431
CORS(Cross-Origin Resource Sharing),跨域资源共享。 CORS是官方的跨域解决方案,其特点是不需要在客户端做任何特殊的操作,完全在服务器中进行处理,支持 get 和 post 请求。跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。 原理: CORS通过设置一个响应头来告诉浏览器,该请求允许跨域,浏览器收到该响应后就会对响应放行。 实现:(只需在服务端加上响应头) app.all('/cors-server',(
输出 JSON 数据时的 Content-Type
weixin_33874713的博客
01-29 4230
导语 缘由是这样的,给前端返回 json 数据,反馈说数据不对(前端是在原代码基础上复制修改的,去掉 jsonp)。看了下后端代码,发现是两次返回 json 的代码不同。但这不是问题的原因,然后再一看 JS 代码,是前端没有进行转换。也正好借此机会,看了下平时没有注意到的点。 分析 日常写代码,返回一些简短数据的时候,没有使用框架封装的方...
同源策略、跨域JSONP/CORS解决策略详解
CORS跨域请求的标准化解决方案,但可能不支持旧版浏览器。 总结来说,同源策略和跨域问题是Web开发中的核心挑战,JSONP是一种简单但有限的解决方式,而CORS则是更为强大且现代的标准。在实际项目中,开发者需要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值