详解5种跨域方式及其原理

最新推荐文章于 2023-05-12 09:52:24 发布
最新推荐文章于 2023-05-12 09:52:24 发布
阅读量310 收藏
点赞数 1
分类专栏: 前端

同源定义 

如果两个页面拥有相同的协议(protocol),端口(如果指定),和主机,那么这两个页面就属于同一个源(origin)。

以下是同源检测的示例

URL

结果

原因

http://store.company.com/dir2/other.html

Success


http://store.company.com/dir/inner/another.html

Success


https://store.company.com/secure.html

Failure

协议不同

http://store.company.com:81/dir/etc.html

Failure

端口不同

http://news.company.com/dir/other.html

Failure

主机不同

1.jsonp

script标签是不受同源策略影响的,它可以引入来自任何地方的js文件。 

而jsonp的原理就是,在客户端和服务端定义一个函数,当客户端发起一个请求时,服务端返回一段JavaScript代码,其中调用了在客户端定义的函数,并将相应的数据作为参数传入该函数。

function jsonp_cb(data){

    console.log(data);

}

function ajax(){

    var url= "http://xx.com/test.PHP?jsonp_callback=jsonp_cb";

    var script= document.createElement('script');

    // 发送请求

    script.src= url;

    document.head.appendChild(script);

}

ajax()

服务端获取到jsonp_callback传递的函数名jsonp_cb,返回一段对该函数调用的js代码

jsonp_cb({

   "name":"story"

});

2.img ping

img标签也是没有跨域限制的,但它只能用来发送GET请求,且无法获取服务端的响应文本,可以利用它实现一些简单的、单向的跨域通信,例如跟踪用户的点击

var img =new Image();

img.onload= function(){

    console.log('done')

    img.onload= null;

    img =null;

}

img.src= "http://xx/xx.gif"

3.window.name

window对象拥有name属性,它有一个特点:相同协议下,在一个页面中,不随URL的改变而改变 

示例代码

window.name= 'string'// 字符串,一般允许的最大值为2M

console.log(window.name)

location ='http://funteas.com/'

此时,在控制台输入window.name,结果依然是”string”

window.name// "string"

window.name的值只能是字符串,任何其他类型的值都会“转化”为字符串 

例如

window.name= function(){}

console.log(window.name)

// "function(){}"

通过window.name实现跨域也很简单,iframe拥有contentWindow属性,其指向该iframe的window对象的引用,如果在iframe的src指向的页面中设置window.name值,那么就可以通过iframe.contentWindow.name就可以拿到这个值了

var url ="http://funteas.com/lab/windowName";

var iframe = document.createElement('iframe')

iframe.onload= function(){

    var data= iframe.contentWindow.name

    console.log(data)

}

iframe.src= url

document.body.appendChild(iframe)

然而,chrome会提示你跨域了! 

而我们已经知道window.name不随URL的改变而改版,也就是说,onload时,已经获取到了name,只不过因为不同源,当前页面的脚本无法拿到iframe.contentWindow.name,此时只需要把iframe.src改为同源即可

var url ="http://funteas.com/lab/windowName";

var iframe = document.createElement('iframe')

iframe.onload= function(){

    iframe.src= 'favicon.ico';

    var data= iframe.contentWindow.name

    console.log(data)

}

iframe.src= url

document.body.appendChild(iframe)

刷新页面,你会发现iframe不断刷新,这是因为每次onload,iframe的src被修改,然后再次触发onload,从而导致iframe循环刷新,修改下即可

var url ="http://funteas.com/lab/windowName";

var iframe = document.createElement('iframe')

var state =true;

iframe.onload= function(){

    if(state=== true){

        iframe.src= 'favicon.ico';

        state =false;

    }elseif(state === false){

        state =null

        var data= iframe.contentWindow.name

        console.log(data)

    }

}

iframe.src= url

document.body.appendChild(iframe)

上面请求的是一个静态页面,而服务端通常需要的是动态数据

echo '<script> window.name = "{\"name\":\"story\"}"</script>';

4.postMessage

postMessage允许不同源之间的脚本进行通信,用法

otherWindow.postMessage(message, targetOrigin);

  • otherWindow 引用窗口 iframe.contentwindow 或 window.open返回的对象
  • message 为要传递的数据
  • targetOrigin 为目标源

// http://127.0.0.1:80

var iframe = document.createElement('iframe')

iframe.onload= function(){

    var popup= iframe.contentWindow

    popup.postMessage("hello","http://127.0.0.1:5000");

}

iframe.src= 'http://127.0.0.1:5000/lab/postMessage'

document.body.appendChild(iframe)

// 监听返回的postMessage

window.addEventListener("message",function(event){

    if(event.origin!== "http://127.0.0.1:5000")return;

    console.log(event.data)

}, false)

// http://127.0.0.1:5000/lab/postMessage

window.addEventListener("message",function(event){

    // 验证消息来源

    if(event.origin!== "http://127.0.0.1")return;

    console.log(event.source);// 消息源 popup

    console.log(event.origin);// 消息源URI https://secure.example.NET 

    console.log(event.data);// 来自消息源的数据 hello

    // 返回数据

    var message= 'world';

    event.source.postMessage(message,event.origin);

}, false);

5.CORS

CORS(跨域资源共享)是一种跨域访问的机制,可以让AJAX实现跨域访问。它允许一个域上的脚本向另一个域提交跨域 AJAX 请求。实现此功能非常简单,只需由服务器发送一个响应标头即可。

Access-Control-Allow-Origin:* // 允许来自任何域的请求

Access-Control-Allow-Origin: http://funteas.com/ // 仅允许来自http://funteas.com/的请求

当客户端的ajax请求的url为其他域时,对于支持CORS的浏览器,请求头会自动添加Origin,值为当前host

var xhr =new XMLHttpRequest();

var url ='http://bar.other/resources/public-data/';

xhr.open('GET', url,true);

xhr.send();

CORS默认不发送cookie,如果要发送cookie,需要设置withCredentials

var xhr =new XMLHttpRequest();

xhr.withCredentials= true;

同时,服务端也要设置

Access-Control-Allow-Credentials:true

查看MDN关于CORS的介绍【https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS】

Marktubbu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域方式实现原理
03-03
前后端数据交互经常会碰到请求跨域,什么是跨域,以及有哪几跨域方式,这是本文要探讨的内容。同源策略是一约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。...
(2020,特征相关度)用于跨域少样本分类的由解释引导的训练
qq_44681809的博客
12-12 1188
跨域少样本分类任务面对的挑战主要来自于:每个类别中有标签样本的稀少,以及training set和testing set属于不同的domain。本文基于现有的FCS提出了新的训练方法。它使用了FSC模型预测时获得的解释,该值用于模型的中间特特征图。首先,我们调整了每个layer的重要性传播,从而解释FSC模型的预测。第二,作者改进了与模型无关的由解释引导的训练:动态的寻找并强调对预测重要的特征。本研究不是为了提出新的解释方法,而是聚焦于explanation在训练阶段的新用法。
图片Ping
weixin_33709609的博客
03-17 131
前面的话   在CORS出现以前,要实现跨域Ajax通信颇费一些周折。开发人员想出了一些办法,利用DOM中能够执行跨域清求的功能,在不依赖XHR对象的情况下也能发送某请求。虽然CORS技术已经无处不在,但开发人员自己发明的这些技术仍然被广泛使用,毕竞这样不需要修改服务器端代码。本文将详细介绍图像Ping   基础   图像Ping跨域请求技术是使用&lt;img&gt;标签。一个网页可以...
Ajax编程步骤
zhangjinpeng66的专栏
08-27 1804
2.2.3 Ajax编程步骤    Ajax编程千篇一律分为以下几步: 1.      创建XMLHttpRequest对象。 ......     function getXMLHttpRequest() {               var xhr = null;               // 针对FireFox,Mozillar,Opera,S
什么是跨域跨域解决方法
热门推荐
weixin_66375317的博客
05-02 9万+
什么是跨域跨域解决方法
JavaScript 九跨域方式实现原理
10-17
主要介绍了JavaScript 九跨域方式实现原理,什么是跨域,以及有哪几跨域方式,这是本文要探讨的内容。小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解js跨域原理以及2解决方案
10-23
主要介绍了js跨域原理以及解决方案,跨域问题是由于javascript语言安全限制中的同源策略造成的,想要进一步了解跨域的朋友可以参考本文进行学习
详解Javascript几跨域方式总结
10-20
在实际开发中我们经常需要获取其他域的资源,本篇文章主要介绍了详解Javascript几跨域方式总结,有兴趣的可以了解一下。
day66 AJAX
weixin_34153893的博客
11-12 403
一,AJAX准备知识:JSON   1.JSON格式数据     1.JSON是什么?       JSON指的是JavaScript对象表法(JavaScript Object Notation)       JSON是一独立于语言的数据格式,轻量级的文本数据交换格式       JSON具有自我描述性,更易理解       JSON使用JavaScript语法来描述数据对象,但是...
什么是跨域? 出现原因及解决方法
Knight
02-28 1万+
什么是跨域? 出现原因及解决方法
设计必备,5个png免抠素材网站,建议收藏
leshem888的博客
12-09 4418
做设计、PPT都需要用到大量的免抠素材,职场中熟练使用Photoshop的人毕竟是少数,也很少有人愿意花费时间去精细抠图。那这5个免抠素材网站一定要收藏好,可以有效帮你节省时间,提高工作效率。1、菜鸟图库https://www.sucai999.com/searchlist/66008.html?v=NTYwNDUx网站主要分享设计素材为主。像平面海报、免抠元素、背景图片、UI界面模板、图标、电商素材等等这里都能找到,分类也很详细。素材基本都能免费下载,只有小部分是会员制。2、pngimghttps://p
66.ajax--ajax请求多个url解决办法
dengling6509的博客
04-10 2431
ajax请求多个url解决办法 以下四方法是我找的,我也进行实践过。 测试中有四个请求接口,原本需要13S,用了第三方法缩减到7S,但是仍不能达到2S以内。 所以仅供参考,待我找到能缩减到2S以内的办法。如果有读者有解决办法,可以写下来,我感激不尽! 还有一个方法就是把异步变为同步,速度会提升很快 一、ajax嵌套 ajax嵌套ajax。跟疯狂for循环一样...
什么是跨域以及为什么会出现跨域以及跨域的解决方案
mischen520的博客
07-02 1万+
1.什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。 • 同源策略:是指协议,域名,端口都要相同,其中有一个不同都会产生跨域跨域举例: 2.为什么会出现跨域? 我们都知道要想访问一个网站,首先要知道这个网站的URL,才能够进入该网站。而URL是由协议、域名、端口组成的(协议,浏览器自动填充;域名的端口默认为80,所以通常这两项不用输入)。而跨域就是说去访问的网站信息中的协议、域名、端口号这三者之中任意一个与当前页面的UR
跨域推荐(Cross-Domain Recommendation)的最新综述
m0_57656758的博客
12-05 2792
论文解读系列第十六篇:IJCAI 2021--跨域推荐(Cross-Domain Recommendation)的最新综述 - 知乎目录1.背景介绍(1)内容层级相关性(content-level relevance)(2)用户层级相关性(user-level relevance)(3)产品层级相关性(item-level relevance)2.综述的动机3. 不同的跨域推荐场景以及挑战场景1. 单目标跨域推荐(single-target CDR)场景2. 多领域推荐(Multi-Domain Recom
什么是跨域,如何解决跨域(前后端)
jieyucx的博客
05-12 2584
跨域:指的是在网页端,发起一个跨越不同域名(协议、端口号)的HTTP请求的过程。例如:当一个页面的URL为http://a.com,通过Ajax向http://b.com发送请求,就是一个跨域请求。跨域问题是由浏览器的同源策略所引起的。同源策略限制了JS代码只能读取与其来源页面具有相同域名的数据。具体而言,同源策略是一浏览器安全策略,它通过检查来源URL(协议 + 域名 +端口)是否与目标URL来源是否相同来决定是否允许跨域访问。同源策略主要限制以下四行为。
什么是跨域、为什么要跨域、怎么解决跨域
qq_46034942的博客
04-29 1万+
什么是跨域、为什么要跨域、怎么解决跨域 ​ ​ 例如:http://192.168.0.1:8080与https://192.168.3.1:8080不是同源,因为协议不同,第一个冒号前面的为协议,中间的为域名,第二个冒号后面的为端口,只要满足有一处不同,则就不是同源。 所谓跨域就是从 A 向 B 发请求,如若他们的地址协议、域名、端口都不相同,直接访问就会造成跨域问题,跨域是非常常见的现象!请求是跨域的但并不一定会报错,普通的图片请求。css文件请求是不会报错的。报错的条件是浏览器的
030-ThreeJS 服务端(node.js)渲染2-加载obj文件
qq_21476953的博客
02-04 891
加载obj文件 关键步骤: let pingObj = await readFile("./module/ping.obj") let loaderObj = new THREE.OBJLoader() // 将字符串转化为数组 let objStr = Uint8ArrayToString(Uint8Array.from(pingObj)) let obj = loaderO...
学透JavaScript
03-14
JavaScript是前端程序员的必修课,也是目前流行的各前端框架的基础知识。本课程将全面剖析JavaScript的运行机制,掌握最核心的语法和编程思维、使用丰富的实例来帮助学员的理解JavaScript、jQurey和AJAX技术。介绍笔试,面试环节中关于JS的常见问题,为将来的工作打下坚实基础。主讲老师有着丰富的前端开发经验和教学经验,在教学过程中不仅注重前端实践的动手能力,同时也注重培养同学们的编程思维模式和手写代码的核心能力。全课程不复制粘贴,除了特殊情况外,所有代码全部直播手写(直接敲代码),增加同学们的印象,相信通过这样的能力训练,同学们的动手能力会有飞越的提升。
浏览器的跨域解决方式
最新发布
06-08
浏览器的跨域问题是由于浏览器的同源策略引起的,同源策略规定了浏览器...5. WebSocket:WebSocket 是一基于 TCP 协议的全双工通信协议,通过 WebSocket 可以在不同域名下的服务器之间建立长连接,从而实现跨域通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值