jsonp VS W3C 的Cross-Origin Resource Sharing

最新推荐文章于 2020-11-02 14:34:19 发布
最新推荐文章于 2020-11-02 14:34:19 发布
阅读量100 收藏
点赞数
分类专栏: javascript 文章标签: jsonp HTML5 Groovy Access IE
才看到W3C的cross original resource sharing,又多了一种跨域的选择.

(官方的跨域解决出现了,看了下文档时间貌似很久了...我果然很out)


那和民间标准jsonp 比有啥优势呢:

[color=blue]1.支持多种http方法[/color]

jsonp一般只支持get方法。

而w3c的cross orginal resouce sharing 支持http的其他几种方法,例如put,delete...

[color=blue]2.简单[/color]

对于服务端来说,设置一个response head 就能搞定W3C CORS, 


Access-Control-Allow-Origin: http://your site


检查下origin就可以选择是否要返回response.


而对于jsonp来说,要进行安全检查

[color=blue]3.安全[/color]

这个就不废话了,jsonp就是script注入,跨站攻击一般都会考虑....

劣势:

这玩意儿要看浏览器颜色,和HTML5一样 不是谁都可以用的........
----------------------------------------------------------------------

W3C CORS客户端实现

只搞了FF的,IE的貌似是XDomainRequest.....下次补上 

var XCOS = function(type,url){
      var xhr = new XMLHttpRequest();

      if (xhr && "withCredentials" in xhr){
            xhr.open(type, url, true);
      } 
      else xhr = null;
      var success = function(msg,obj){
            alert(msg);
      };
      var error = function(obj){
            alert("error");
      };
      var handle_load = function (event_type) {
            return function (XHRobj) {
            if (event_type == 'load' && (XHRobj.readyState == 4) && success)
                  success(XHRobj.responseText, XHRobj);
            else if (error)
                  error(XHRobj);
            };
      };

      try {
            xhr.withCredentials = true;
      } catch(e) {};

      xhr.onload = function (e) { handle_load('load')(e.target); };
      xhr.onerror = function (e) { handle_load('error')(e.target); };
      xhr.send();
};




W3C 服务端代码: 


response.setHeader("Access-Control-Allow-Origin","xyz")
response.setHeader("Access-Control-Allow-Methods","get")



最后 我承认以下写的比我好多了

http://hacks.mozilla.org/2009/07/cross-site-xmlhttprequest-with-cors

http://www.w3.org/TR/cors/
ezzze
关注
专栏目录
Allow-Control-Allow-Origin谷歌跨域插件
01-14
标题中的"Allow-Control-Allow-Origin"是HTTP响应头的一部分,用于定义Web服务器允许哪些源(Origin)访问其资源,这是处理跨域资源共享(CORS - Cross-Origin Resource Sharing)的关键机制。跨域请求通常在浏览器...
出现Cross-Origin Read Blocking (CORB) blocked cross-origin response 报错解决方法
desjs7499的博客
05-10 1万+
1.错误分析 这里我调用的是qq音乐的一个接口 所有的的参数 都和qq音乐那边的保持一致。 当我 console.log所抓取数据时,查看控制台时发现了以下错误 其实禁止跨域请求是浏览器本身的一种安全策略。 2.跨域资源共享(Cross-Origin-Resource-Sharing) 跨域资源共享(CORS)机制,是为了浏览器能更为安全的处理...
jsonp跨域资源引起CORB
weixin_34274029的博客
02-26 2351
一、jsonp的使用 jsonp是实现跨域请求数据的一种方式,解决了由于浏览器同源策略带来的安全限制;虽然浏览器有同源策略的限制,但对于一些特殊的dom元素却可引用非同源资源,例如<img src=""/> <script src=""/>等,下面结合例子说明: jquery直接发起ajax调用 服务端代码 @Re...
Cross-Origin Read Blocking (CORB) blocked cross-origin response
YangzaiLeHeHe的博客
11-02 2万+
文章目录一、背景二、描述问题1、前因后果2、分析三、CORS1、 概念四、CORB1、概念2、一些概念3、说正事4、分析 一、背景 最近一直在做项目联调,由于系统对接了N个第三方厂商,于是乎扯出了一堆的跨域问题,他们是下面这样的: https域名访问http域名被浏览器禁止 接口未开放跨域能力 有一天 我看到了这个: 看不清的话看这里 Cross-Origin Read Blocking (CORB) blocked cross-origin response https://a.g.t.cn
如何解决XMLHttpRequest cannot load file~~~~~~~Origin 'null' is therefore not allowed access
热门推荐
生命不止 学无止境
06-16 15万+
XMLHttpRequest cannot load file~~~~~~~Origin 'null' is therefore not allowed access 最近在做框架的时候,需要加载.html文件和.json文件的时候出现了一下一个错误
cross-request-3.0-master.zip
03-15
1. CORS(Cross-Origin Resource Sharing,跨源资源共享):这是一种W3C标准,通过在服务器端设置特定的HTTP响应头,允许浏览器在跨域请求时进行权限判断,从而实现跨域资源访问。 2. JSONPJSON with Padding):...
跨域请求资源-jsonp和cors区别.pdf
最新发布
04-09
- **CORS**(Cross-Origin Resource Sharing,跨源资源共享)是一个W3C标准,用于定义服务器如何响应来自不同源的HTTP请求。 - CORS由服务器端配置完成,主要通过HTTP头部中的`Access-Control-Allow-Origin`字段来...
js实现跨域的几种方法汇总(图片ping、JSONP和CORS)
10-23
跨域资源共享(Cross-Origin Resource Sharing, CORS)是互联网中一种安全机制,用于定义网页安全策略以及客户端与服务器之间数据交互的权限。浏览器安全的同源策略限制了不同源之间交互,但随着Web应用的复杂性增加...
cxf-webservice-rest:这是一个cxf rest的webservice demo可以通过ajax 跨域直接访问不需要jsonp形式
05-16
然而,该项目实现了CORS(Cross-Origin Resource Sharing,跨源资源共享)机制,使得AJAX可以直接跨域访问,无需JSONP转换。 CORS是一种W3C标准,允许浏览器在用户代理(如JavaScript)和不同源的服务器之间进行...
Ajax:Cross-Origin Resource Sharing
火箭豹
08-14 2191
沙箱机制,如何跨域
使用ajax跨域Cross-Origin Resource Sharing / withCredentials的作用
zhouwangling_的专栏
11-15 2547
HTML 5以前的标准由于考虑到浏览器安全问题并不允许直接跨域通信,于是为了达到跨域通信的目的各种蛋疼的解决办法出现了,常用的有:jsonp、使用代理文件、地址栏hash等等,这些办法的出现在达到解决跨域问题的同时,也增加了前端页面的性能开销和维护成本。HTML5新的标准中,增加了” Cross-Origin Resource Sharing”特性,这个特性的出现使得跨域通信只需通过配置http协议
Ajax跨域、Json跨域、Socket跨域和Canvas跨域等同源策略限制的解决方法
freshlover的专栏
03-12 11万+
同源是指相同的协议、域名、端口,三者都相同才属于同域。不符合上述定义的请求,则称为跨域。 相信每个开发人员都曾遇到过跨域请求的情况,虽然情况不一样,但问题的本质都可以归为浏览器出于安全考虑下的同源策略的限制。 跨域的情形有很多,最常见的有Ajax跨域、Socket跨域和Canvas跨域。下面列举一些我们常见的跨域情形下,某些浏览器控制台给出的错误提示。 FireFox下的提示:已阻止交叉源请求:同源策略不允许读取***上的远程资源。可以将资源移动到相同的域名上或者启用 CORS 来解决这个问题。Canvas
所谓的跨域(Cross-Origin),究竟是什么?——你所不知道浏览器跨域的小知识
u011037503的博客
09-18 4万+
浏览器跨域禁止访问的是浏览器对于JavaScript的一个安全策略。 jsonp的本质其实不是Ajax请求(XMLHttpRequest)。
Chrome浏览器跨域,解决Blocked current origin from receiving cross-site document at问题
小记心得
05-09 7466
众所周知,作为前端开发人员,经常会遇到跨域联调的场景,那么Chrome浏览器也是我们首选的调试浏览器。Chrome浏览器跨域设置方法:在快捷方式中设置:--disable-web-security --user-data-dir如图:相信很多人也是这么做的,但是Chrome升级到66版本后,这个就不好用了,怎么解决呢:处理方式不变,设置参数修改为如下即可:--disable-web-securit......
跨域资源共享CORS以及在zepto中使用遇到的问题
lululove19870526的专栏
10-26 1904
跨域资源共享CORS以及在zepto中使用遇到的问题 一、 跨域资源共享CORS      1.浏览器的同源策略         同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页
csrf jsonp
08-12
CSRF(Cross-Site Request Forgery)是一种网络攻击方式,它利用用户已经在某个网站上登录的身份,在用户不知情的情况下对其他网站进行恶意操作。JSONPJSON with Padding)是一种跨域请求的解决方案之一。JSONP通过在前端页面动态生成<script>标签,将请求发送到其他域名的服务器,并在响应中返回一个回调函数的调用。这样,前端页面就可以通过回调函数获取到跨域请求的数据。 从引用中可以了解到,JSONP的兼容性较好,但它只支持GET请求,不支持POST请求。而CORS(Cross-Origin Resource Sharing)是W3C标准定义的跨域Ajax请求的解决方案,它支持GET和POST请求,但可能存在兼容性问题。 在引用中的示例代码中,可以看到JSONP的具体实现方式。通过在服务器端创建一个路由,接收客户端通过查询字符串传递的callback参数。然后服务器会构造一个对象,并将该对象转换成字符串形式返回给客户端,并在返回的数据前面添加回调函数的调用。 综上所述,JSONP是一种通过动态生成<script>标签实现跨域请求的临时解决方案,而CSRF是一种网络攻击方式。两者并没有直接的联系。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CORS和JSONP的区别,如何解决跨域问题?](https://blog.csdn.net/SunFlower914/article/details/120691847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值