跨域及其解决方案

最新推荐文章于 2022-06-21 14:02:15 发布
最新推荐文章于 2022-06-21 14:02:15 发布
阅读量396 收藏
点赞数
分类专栏: 网络 文章标签: javascript 跨域 前端 jsonp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tracy_frog/article/details/118446973
版权

为什么会有跨域?

出于安全性考虑,浏览器限制脚本内发起的跨源HTTP请求。例如,XMLHttpRequest和Fetch API遵循同源策略。这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非响应报文包含了正确CORS响应头。

同源策略:如果两个URL的protocol(协议)、port(端口,如果有指定的话)和host(域名)都相同的话,则这两个URL是同源。

跨域解决方案

1. JSONP

在CORS之前,开发人员也有跨域请求资源的需求,他们提出了多种方案,其中JSONP为常见的一种。JSONP作为一种古老的方案已经不被推荐在项目中使用,但其优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据,我们也有必要了解下其实现原理,开阔开发思路。

原理: 所有具有src属性的HTML标签都是可以跨域的。在浏览器中,<script>、<img>、<iframe>和<link>这几个标签是可以加载跨域(非同源)的资源的,并且加载的方式其实相当于一次普通的GET请求,唯一不同的是,为了安全起见,浏览器不允许这种方式下对加载到的资源的读写操作,而只能使用标签本身应当具备的能力(比如脚本执行、样式应用等等)。

JSONP的缺点:

  • 只能实现get一种请求方式。
  • JSONP在调用失败的时候前端不能获取各种HTTP状态码。
  • 安全性问题。万一假如提供JSONP的服务存在页面注入漏洞,即它返回的javascript的内容被人控制的。那么结果是什么?所有调用这个JSONP的网站都会存在漏洞。于是无法把危险控制在一个域名下…所以在使用JSONP的时候必须要保证使用的JSONP服务必须是安全可信的。

利用script标签天生具有跨域能力和脚本执行的能力的原理,前后端约定好一个函数名callbackName,使用script标签发送请求,服务器端获取数据res后响应请求返回callback(res)格式的脚本,则会在客户端将res作为参数执行函数callback,至此,客户端获取到了接口的返回值res。

先实现一个简单的JSONP。

jsonp_v1版本

服务器示例代码(node) http://xxx.xxx.com

router.get('/test', async ctx => {
    const { keyword, callback } = ctx.query;
    let res = await testController.getData({ keyword });
    ctx.body = `${callback}({
      code: 1,
      data: ${JSON.stringify(res)},
      msg: '请求成功'
    })`;
});

前端示例代码

// 先处理下参数
const getEncodeParams = (data = {}) => {
  let res = []
  for (let key in data) {
    res.push(`${encodeURIComponent(key)}=${encodeURIComponent(data[key])}`);
  }
  return res.join('&');
}

function jsonp_v1 (url, data, callbackFunc) {
  let elem = document.createElement('script');
  elem.type = 'text/javascript';
  elem.src = `${url}?${getEncodeParams(data)}&callback=callbackFunc`;
  document.body.appendChild(elem);
  window.callbackFunc = callbackFunc;
}
// 发送请求
jsonp_v1('http://localhost:3000/tool/test', { keyword: 'hello-world' }, function (res) { // 服务器处理请求后会返回"调用这个函数的脚本"
  alert(res)
});

缺点:发送多个请求时,window.callbackFunc会被重写,例如运行以下代码,我们期望alert一次,console一次,结果却是console两次。

jsonp_v1('http://localhost:3000/tool/test', { keyword: 'hello-world' }, function (res) { // 服务器处理请求后会返回"调用这个函数的脚本"
  alert(res)
});
jsonp_v1('http://localhost:3000/tool/test', { keyword: 'hello' }, function (res) { // 服务器处理请求后会返回"调用这个函数的脚本"
  console.log(res)
});
jso
最低0.47元/天 解锁文章
Astar_小白的成长之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Javascript和Ajax解决方案
08-08
NULL 博文链接:https://sun123start.iteye.com/blog/2150778
html _整理前端最全方案,工作面试不用愁(上)
weixin_39932330的博客
12-01 129
关于前端这个老生长谈的问题,解决方案也是铺天盖地,但大家是否真正从原理上到实践已经完全掌握了呢?小郭今天将总结所有的解决方案,让你在面试中收获满分。本文将从场景到方案逐一说明,重点突出最常用方案,让你工作开发不用愁。由于本文涉及篇幅较长,因此分上下集讲述,力争把最全面的问题分享给大家。概念广义:一个下的文档或脚本试图去请求另一个下的资源,这被称作为广义上。举例:...
html _常见解决方案以及Ocelot 配置
weixin_39744512的博客
11-27 261
常见解决方案以及Ocelot 配置Intro我们在使用前后端分离的模式进行开发的时候,如果前端项目和api项目不是一个名下往往会有问题。今天来介绍一下我们在Ocelot网关配置的。什么是:浏览器对于javascript的同源策略的限制,例如a.cn下面的js不能调用b.cn中的js,对象或数据(因为a.cn和b.cn是不同),所以就出现了.上面提到的,同...
【骚操作】本地html解决问题
Ercyao的博客
04-29 1962
>因为就一个页面,所以使用原生html页面,没有用框架,但用惯了vue,当原生html出现问题时候一脸懵逼,这时候想起大学学的东西可以搭建IIS服务器呀(看来大学学的还是有点用),于是便把本地文件放在本地服务器上,然后使用[whistle](https://www.jianshu.com/p/f700277faf7c)进行代理,最后访问http://47.112.124.234:7003...
常见解决方案
Mr_RedStar的博客
04-10 358
总结前言一、简介二、解决方案1.JSONP2.CORS3.Node中间件代理4.Nginx反向代理5.window.name+iframe6.location.hash+iframe7.document.domain+iframe8.postMessage9.WebSocket协议总结 前言 上期我们讲到CORS,这里就不讲解了,需要明确的是CORS是作为目前http请求的根本解决方案。 本章仅对方案做总结,如有遗漏或不对的地方请指正哈 一、简介 是指由于浏览器
signalR解决方案
12-25
signalR解决方案 Access-Control-Allow-Origin' header is present之 为什么会解决方案
及其解决方案.xmind
01-29
及其解决方案.xmind
详解ajax问题解决方案
10-19
【Ajax问题详解及其解决方案】 Ajax问题源于浏览器的同源策略,这是一种安全机制,旨在保护用户信息不被恶意网站获取。同源策略规定,JavaScript只能访问与当前页面同源(即协议、名、端口都相同)的资源...
ajax访问遇到的问题及解决方案
01-19
而script、script、iframe标签的src属性就不存在的问题,所以Ajax就是利用这一点以及js对JSON的支持,外部服务只要给Ajax的请求响应一段JS代码或JSON数据,就能被Ajax获取到。 由于安全方面的原因, 客户端js...
Ajax问题及其解决方案.docx
10-26
Ajax问题及其解决方案.docx
关于Ajax问题及解决方案详析
10-17
主要给大家介绍了Ajax问题以及解决方案的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Ajax具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Ajax问题及解决方案(jsonp,cors)
10-16
远程服务器上设法动态的把数据装进js格式的文本代码段中,供客户端调用和进一步处理。这篇文章主要介绍了ajax问题解决方案(jsonp,cors) ,需要的朋友可以参考下
关于JavaScript问题及实时刷新解决方案
01-19
在自己页面显示其他网站上面的数据,需要用Ajax,就涉及到问题, 解决方案:jQuery.support.cors = true; (浏览器支持访问), 实例: 代码如下: //浏览器支持访问 jQuery.support.cors = true; $.ajax...
详解js原理以及2种解决方案
10-23
主要介绍了js原理以及解决方案问题是由于javascript语言安全限制中的同源策略造成的,想要进一步了解的朋友可以参考本文进行学习
Vue开发中遇到的问题及解决方法
10-15
在本篇文章里小编给大家整理的是关于Vue开发中遇到的问题及解决方法,需要的朋友们可以学习下。
网站传递的原理+同源策略+src+callback回调函数
Mr.zhang的博客
01-16 870
一,传输数据的几种数据格式 1,Html Html由一些普通文本组成。如果服务器通过XMLHTTPRequest发送html,文本将存储在responseText属性中。 从服务器端发送的html的代码在浏览器端不需要用JavaScript进行解析。 可以直接使用innerHTML属性把服务器传输过来的html文本插入到页面中。 2,XML 是一种通用的数据格式 不必把数据强加到已定义好的格式中,...
产生的原因以及解决方案
浮游的博客
03-09 2135
造成的原因 是指一个下的文档或脚本试图去请求另一个下的资源,这里的是广义的。 广义的包括: 资源跳转: 链接,重定向,表单提交 资源嵌入: <link>,<script>,<img>,<iframe>等 DOM 标签 脚本请求: javascript 发起的 Ajax 请求等 而我们常说的是狭义的,是由浏览器同源策略引起的一类请求场景。 The same-origin policy is a critical security me
关于问题
阿铭的博客
06-21 2630
关于的一些问题
实现请求
iceBother的博客
09-10 417
实现请求的方案--JSONP JSONP简介 JSON with Padding,是一种借助于 script 标签发送请求的技巧。 其原理: script的src标签是可以发请求的,借助 script 标签src请求服务端上的接口 服务端的接口返回JavaScript 脚本,并附上要返回的数据。 以后绝大多数情况都是采用 JSONP 的手段完成不同源地址之间的请求,它其实并不是ajax请求。 让script标签的src指向一个接口 前端:让script标签
ajax解决问题
最新发布
08-21
- *1* *3* [ajax问题及解决方案](https://blog.csdn.net/qingqingxiangyang/article/details/104514704)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值