jsonp VS W3C 的Cross-Origin Resource Sharing

最新推荐文章于 2020-11-02 14:34:19 发布
最新推荐文章于 2020-11-02 14:34:19 发布
阅读量96 收藏
点赞数
分类专栏: javascript 文章标签: jsonp HTML5 Groovy Access IE
才看到W3C的cross original resource sharing,又多了一种跨域的选择.

(官方的跨域解决出现了,看了下文档时间貌似很久了...我果然很out)


那和民间标准jsonp 比有啥优势呢:

[color=blue]1.支持多种http方法[/color]

jsonp一般只支持get方法。

而w3c的cross orginal resouce sharing 支持http的其他几种方法,例如put,delete...

[color=blue]2.简单[/color]

对于服务端来说,设置一个response head 就能搞定W3C CORS, 


Access-Control-Allow-Origin: http://your site


检查下origin就可以选择是否要返回response.


而对于jsonp来说,要进行安全检查

[color=blue]3.安全[/color]

这个就不废话了,jsonp就是script注入,跨站攻击一般都会考虑....

劣势:

这玩意儿要看浏览器颜色,和HTML5一样 不是谁都可以用的........
----------------------------------------------------------------------

W3C CORS客户端实现

只搞了FF的,IE的貌似是XDomainRequest.....下次补上 

var XCOS = function(type,url){
      var xhr = new XMLHttpRequest();

      if (xhr && "withCredentials" in xhr){
            xhr.open(type, url, true);
      } 
      else xhr = null;
      var success = function(msg,obj){
            alert(msg);
      };
      var error = function(obj){
            alert("error");
      };
      var handle_load = function (event_type) {
            return function (XHRobj) {
            if (event_type == 'load' && (XHRobj.readyState == 4) && success)
                  success(XHRobj.responseText, XHRobj);
            else if (error)
                  error(XHRobj);
            };
      };

      try {
            xhr.withCredentials = true;
      } catch(e) {};

      xhr.onload = function (e) { handle_load('load')(e.target); };
      xhr.onerror = function (e) { handle_load('error')(e.target); };
      xhr.send();
};




W3C 服务端代码: 


response.setHeader("Access-Control-Allow-Origin","xyz")
response.setHeader("Access-Control-Allow-Methods","get")



最后 我承认以下写的比我好多了

http://hacks.mozilla.org/2009/07/cross-site-xmlhttprequest-with-cors

http://www.w3.org/TR/cors/
ezzze
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
出现Cross-Origin Read Blocking (CORB) blocked cross-origin response 报错解决方法
desjs7499的博客
05-10 1万+
1.错误分析 这里我调用的是qq音乐的一个接口 所有的的参数 都和qq音乐那边的保持一致。 当我 console.log所抓取数据时,查看控制台时发现了以下错误 其实禁止跨域请求是浏览器本身的一种安全策略。 2.跨域资源共享(Cross-Origin-Resource-Sharing) 跨域资源共享(CORS)机制,是为了浏览器能更为安全的处理...
jsonp跨域资源引起CORB
weixin_34274029的博客
02-26 2340
一、jsonp的使用 jsonp是实现跨域请求数据的一种方式,解决了由于浏览器同源策略带来的安全限制;虽然浏览器有同源策略的限制,但对于一些特殊的dom元素却可引用非同源资源,例如<img src=""/> <script src=""/>等,下面结合例子说明: jquery直接发起ajax调用 服务端代码 @Re...
Cross-Origin Read Blocking (CORB) blocked cross-origin response
YangzaiLeHeHe的博客
11-02 2万+
文章目录一、背景二、描述问题1、前因后果2、分析三、CORS1、 概念四、CORB1、概念2、一些概念3、说正事4、分析 一、背景 最近一直在做项目联调,由于系统对接了N个第三方厂商,于是乎扯出了一堆的跨域问题,他们是下面这样的: https域名访问http域名被浏览器禁止 接口未开放跨域能力 有一天 我看到了这个: 看不清的话看这里 Cross-Origin Read Blocking (CORB) blocked cross-origin response https://a.g.t.cn
使用ajax跨域Cross-Origin Resource Sharing / withCredentials的作用
zhouwangling_的专栏
11-15 2545
HTML 5以前的标准由于考虑到浏览器安全问题并不允许直接跨域通信,于是为了达到跨域通信的目的各种蛋疼的解决办法出现了,常用的有:jsonp、使用代理文件、地址栏hash等等,这些办法的出现在达到解决跨域问题的同时,也增加了前端页面的性能开销和维护成本。HTML5新的标准中,增加了” Cross-Origin Resource Sharing”特性,这个特性的出现使得跨域通信只需通过配置http协议
Allow-Control-Allow-Origin谷歌跨域插件
01-14
标题中的"Allow-Control-Allow-Origin"是HTTP响应头的一部分,用于定义Web服务器允许哪些源(Origin)访问其资源,这是处理跨域资源共享(CORS - Cross-Origin Resource Sharing)的关键机制。跨域请求通常在浏览器...
cross-request-3.0-master.zip
03-15
1. CORS(Cross-Origin Resource Sharing,跨源资源共享):这是一种W3C标准,通过在服务器端设置特定的HTTP响应头,允许浏览器在跨域请求时进行权限判断,从而实现跨域资源访问。 2. JSONPJSON with Padding):...
跨域请求资源-jsonp和cors区别.pdf
04-09
- **CORS**(Cross-Origin Resource Sharing,跨源资源共享)是一个W3C标准,用于定义服务器如何响应来自不同源的HTTP请求。 - CORS由服务器端配置完成,主要通过HTTP头部中的`Access-Control-Allow-Origin`字段来...
js实现跨域的几种方法汇总(图片ping、JSONP和CORS)
10-23
跨域资源共享(Cross-Origin Resource Sharing, CORS)是互联网中一种安全机制,用于定义网页安全策略以及客户端与服务器之间数据交互的权限。浏览器安全的同源策略限制了不同源之间交互,但随着Web应用的复杂性增加...
cxf-webservice-rest:这是一个cxf rest的webservice demo可以通过ajax 跨域直接访问不需要jsonp形式
05-16
然而,该项目实现了CORS(Cross-Origin Resource Sharing,跨源资源共享)机制,使得AJAX可以直接跨域访问,无需JSONP转换。 CORS是一种W3C标准,允许浏览器在用户代理(如JavaScript)和不同源的服务器之间进行...
如何解决XMLHttpRequest cannot load file~~~~~~~Origin 'null' is therefore not allowed access
热门推荐
生命不止 学无止境
06-16 15万+
XMLHttpRequest cannot load file~~~~~~~Origin 'null' is therefore not allowed access 最近在做框架的时候,需要加载.html文件和.json文件的时候出现了一下一个错误
跨域资源共享CORS以及在zepto中使用遇到的问题
lululove19870526的专栏
10-26 1900
跨域资源共享CORS以及在zepto中使用遇到的问题 一、 跨域资源共享CORS      1.浏览器的同源策略         同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页
Ajax跨域、Json跨域、Socket跨域和Canvas跨域等同源策略限制的解决方法
freshlover的专栏
03-12 11万+
同源是指相同的协议、域名、端口,三者都相同才属于同域。不符合上述定义的请求,则称为跨域。 相信每个开发人员都曾遇到过跨域请求的情况,虽然情况不一样,但问题的本质都可以归为浏览器出于安全考虑下的同源策略的限制。 跨域的情形有很多,最常见的有Ajax跨域、Socket跨域和Canvas跨域。下面列举一些我们常见的跨域情形下,某些浏览器控制台给出的错误提示。 FireFox下的提示:已阻止交叉源请求:同源策略不允许读取***上的远程资源。可以将资源移动到相同的域名上或者启用 CORS 来解决这个问题。Canvas
Ajax:Cross-Origin Resource Sharing
火箭豹
08-14 2187
沙箱机制,如何跨域
解决chrome阻止跨域方式,jquery-3.1.1.min.js:4 Cross-Origin Read Blocking (CORB) blocked cross-origin response
09-26 1万+
《解决浏览器请求成功数据被拦截,获取不到数据问题》 **备注:**先保存3条cmd代码,执行后会重启浏览器 原文链接:https://blog.csdn.net/MisTTT/article/details/75976123 解决chrome对跨域请求禁止的约束: 在命令行执行命令: start chrome.exe --args --disable-web-security --user-dat...
Chrome浏览器跨域,解决Blocked current origin from receiving cross-site document at问题
小记心得
05-09 7440
众所周知,作为前端开发人员,经常会遇到跨域联调的场景,那么Chrome浏览器也是我们首选的调试浏览器。Chrome浏览器跨域设置方法:在快捷方式中设置:--disable-web-security --user-data-dir如图:相信很多人也是这么做的,但是Chrome升级到66版本后,这个就不好用了,怎么解决呢:处理方式不变,设置参数修改为如下即可:--disable-web-securit......
怎么解决浏览器 strict-origin-when-cross-origin
最新发布
08-16
浏览器中的 "strict-origin-when-cross-origin"(同源策略加强版)是一个安全措施,用于防止跨域资源共享(Cross-Origin Resource Sharing, CORS)。这个策略限制了来自不同源的脚本只能访问自身来源的服务端资源,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值