跨域实现详解

最新推荐文章于 2022-04-09 11:35:00 发布
最新推荐文章于 2022-04-09 11:35:00 发布
阅读量342 收藏
点赞数
分类专栏: JAVASCRIPT基础 文章标签: javascript 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hope_It/article/details/71305259
版权

一直觉得jsonp很好用,却不知道原理,跨越技术有点多,在这探索解释一番,望有所获

同源策略

在JavaScript中,有一个很重要的安全性限制,被称为“Same-Origin Policy”(同源策略)。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制,即JavaScript只能访问与包含它的文档在同一域下的内容。(图片来自MDN)

这里写图片描述

JSONP

在js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的。但是,在页面上用<script>标签引入不同域上的js脚本文件却是可以的,jsonp正是利用这个特性来实现的。

  • jsonp的客户端实现
    tocat服务器上有个remote.js(这里用tocat,web项目演示)
    这里写图片描述
alert("跨域成功");

本地index.html文件

<!DOCTYPE>
<html>
<head>
    <title>跨域资源</title>
    <meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
    /* 完成跨域 */
    <script src="http://localhost:8080/web/js/remote.js"></script>
</head>
<body>
</body>
</html>

这里写图片描述
很明显,显示跨域成功

  • 接下来我们在本地index.html定义callback函数 ,然后远程tomcat.js传入回调数据,
    index.html
<!DOCTYPE>
<html>
<head>
    <title>跨域资源</title>
    <meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
    /* 完成跨域 */
     <script type="text/javascript">
         window.onload = function() {
         var callback = function(data) {
            alert("跨域调用远程tomcat.js成功: " + data.name);
        }
    }
    </script>
    <script src="http://localhost:8080/web/js/tomcat.js"></script>
</head>
<body>
</body>
</html>

远程服务器:
tomcat.js

callback({"name":"kk"});

到此,跨域基本实现,但是这里有个问题,远程站点怎么知道要调用哪个callback呢?
所以就有了jsonp的核心:服务端提供的callback是动态生成的, 本地只要动态传一个callback给服务端,服务端就知道该调用哪个了
像这样:
客户端

<!DOCTYPE>
<html>
<head>
    <title>跨域资源</title>
    <meta http-equiv="Content-Type" content="text/html;charset=utf-8" />
    <script type="text/javascript">
    window.onload = function() {
        var callback = function(data) {
            alert("跨域调用远程成功: " + data.name);
        }
        var url = "http://localhost:8080/web/js/helloServlet?userid=1&callback=callback";
        // 创建script标签,设置其属性
        var script = document.createElement('script');
        script.setAttribute('src', url);
        // 把script标签加入head,此时调用开始
        document.getElementsByTagName('head')[0].appendChild(script);
    }
    </script>
</head>
<body>
</body>
</html>

服务端:(这里选用java解释)

 // 从客户端获取参数userid和callback
	PrintWriter out =response.getWriter();
// 根据userid查找到的数据存储为json,
	out.println(callback+"("+json+")");
// 返回给客户端的代码,callback(json)

这里写图片描述

jsonp的执行全过程就是这么回事了(个人理解)

  • 现在再来看JQuery中的实现,我们最经常用的$.ajax,似乎通透了不少,也就是这么回事
    $(function() {
        $.ajax({
            async: false,
            url: http, //跨域url地址 
            type: "GET",
            dataType: 'jsonp',
            jsonp: 'jsoncallback',
            data: {
                "userid": "1"
            },
            timeout: 5000,
            beforeSend: function() {
                //jsonp 方式此方法不被触发.原因可能是dataType如果指定为jsonp的话,就已经不是ajax事件了  
            },
            success: function(json) { //客户端jquery预先定义好的callback函数,成功获取跨域服务器上的json数据后,会动态执行这个callback函数  
           
            }
           
            error: function(xhr) {
                //jsonp 方式此方法不被触发.原因是:dataType如果指定为jsonp的话,就已经不是ajax事件了  
                //请求出错处理  
                alert("请求出错(请检查相关度网络状况.)");
            }
        });
    })

这里发现,$.ajaxajax并不是一回事啊,ajax的核心是通过XmlHttpRequest获取非本页内容,而jsonp的核心则是动态添加

window.name

注意,window.name的值只能是字符串的形式,这个字符串的大小最大能允许2M左右甚至更大的一个容量,具体取决于不同的浏览器,但一般是够用了。
实例:
假设有三个页面:

http://a.com/a.html  //渴望获得数据的页面
http://a.com/b.html  //a的兄弟页面,充当中间人角色
http://b.com/data.html //不同源的数据页
  • http://a.com/a.html,监听iframe的onload事件,在此事件中设置这个iframe的src指向本地域的代理页面http://a.com/b.html(代理文件和应用页面在同一域下,所以可以相互通信)
    动态创建iframe
    <script type="text/javascript">

    var state = 0,
        iframe = document.createElement('iframe');
        
    // 通过iframe的src与data.html通信
    iframe.src = 'http://b.com/data.html';
    
    //监听onload
    if (iframe.attachEvent) {
        iframe.attachEvent('onload', loadfn);
    } else {
        iframe.onload = loadfn;

    var loadfn = function() {
            if (state === 0) {
                state = 1;
                iframe.contentWindow.location = "http://a.com/b.html"; // 设置的代理页面
            }
            else if (state === 1) {
                var data = iframe.contentWindow.name; // 读取数据
                alert(data); //弹出'data.html!'
            } 
        };
    </script>
  • http://b.com/data.html
    <script type="text/javascript">
    	window.name = 'data.html';
    </script>

这样就可以成功解决了,理一下思路,应该是这样:
充当中间人的iframe想要获取到data.html的通过window.name设置的数据,只需要把这个iframe的src设为www.cnblogs.com/data.html就行了。然后a.html想要得到iframe所获取到的数据,也就是想要得到iframe的window.name的值,还必须把这个iframe的src设成跟a.html页面同一个域才行
图示:
这里写图片描述

HTML5中新引进的window.postMessage方法

在HTML5中新增了postMessage方法,postMessage可以实现跨文档消息传输(Cross Document Messaging),Internet Explorer 8, Firefox 3, Opera 9, Chrome 3和 Safari 4都支持postMessage。

实现:
发送信息的页面http://a.com/a.html

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>客户端</title>
    <script type="text/javascript">
    window.onload = function() {
        window.frames[0].postMessage('data', 'http://b.com/data.html');
        //postMessage接收两个参数,第一个数据,第二个字符串参数,指明目标窗口的源,具体看MDN
    }
    </script>
</head>

<body>
    <iframe id="child" src="http://b.com/data.html"></iframe>
</body>

</html>

接收信息的页面http://b.com/data.html

// 通过监听message事件获取数据
window.addEventListener('message',function(e){
                var e =e||event;
                alert(e.data);
            },false);

图示:
这里写图片描述

跨域资源共享(CORS)

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

**因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。**具体原理参见MDN

  • 当然:还有document.domain…
  • 以上十个人理解,ps: 欢迎指正
i大俊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django实现跨域请求过程详解
09-18
主要介绍了Django实现跨域请求过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
jsonp跨域请求详解
10-19
JSONP(JSON with Padding)是一种跨域数据交互协议,它利用了浏览器的同源策略的漏洞,通过动态插入`<script>`标签的方式实现跨域请求。由于`<script>`标签不受同源策略限制,可以加载任何来源的JavaScript代码,...
跨域实现
weixin_50756063的博客
01-09 156
1、跨域说明 2、跨域实现
九种跨域方式实现原理(完整版)
java、c++、机器学习方向King
01-24 766
一、什么是跨域? 1. 什么是同源策略及其限制内容? 同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 同源策略限制内容有: Cookie、LocalStorage、IndexedDB 等存储性内容 DOM 节点 AJAX 请...
如何实现跨域
wangl02825的专栏
03-22 333
当浏览器执行 JS 脚本的时候,会检测脚本要访问的协议、域名、端口号是不是和当前网址一致,如果不一致就是跨域跨域是不允许的,这种限制叫做浏览器的同源策略,简单点的说法就是浏览器不允许一个源中加载脚本与其他源中的资源进行交互。那么如何实现跨域呢。 JSONP、CORS方式、代理方式 1 JSONP 方式 script、img、iframe、link、video、audio 等带有 src 属性的标签可以跨域请求和执行资源,JSONP 利用这一点“漏洞”实现跨域。 <script> var scr
跨域执行 脚本JS
weixin_34212762的博客
07-14 104
以前看了几篇这方面的文章,但是都未能找到一个合适的解决方法。 获取同一个域的数据,可以通过XMLHTTP组件或IFRAME来实现,不存在跨域访问的权限问题,因此比较简单。 但如果要访问不同域的数据时,由于浏览器的安全设置,XMLHTTP没有权限获取数据,而IFRAME没有权限将获取的数据传递给父窗口,似乎没有其它解决办法。 在网上提到的方法,不外乎这两...
什么是跨域跨域实现方式
qq_41092912的博客
11-28 201
1.跨域 1.1 同源策略 规定: 如果浏览器的地址与Ajax的请求地址 协议名称://域名地址:端口号 如果都相同则满足同源策略.浏览器可以正常的解析返回值. 如果三者之间有一个不同,则违反了同源策略.浏览器不会解析返回值. 1.2 什么是跨域 由于业务需要,通常A服务器中的数据可能来源于B服务器. 当浏览器通过网址解析页面时,如果页面内部发起ajax请求.如果浏览器的访问地址与Ajax访问地址不满足同源策略时,则称之为跨域请求. 跨域要素: 1.浏览器 2.解析ajax 3.违反了同源策略 1.3 J
跨域资源共享 CORS 详解
09-02
总结来说,CORS是一个允许Web应用跨越源访问资源的安全机制,通过浏览器和服务器之间的交互来实现。开发者需要注意的是,正确配置服务器以支持CORS,并理解何时需要预检请求以及如何处理跨域时的Cookie和自定义头...
详解AngularJS如何实现跨域请求
11-25
AngularJS,作为一个强大的前端框架,提供了多种方式来实现跨域请求。本文将详细讲解AngularJS中的$http服务如何实现跨域请求。 首先,我们来看AngularJS中的核心服务$http。它是一个基于XMLHttpRequest对象(XHR)...
java使用webuploader实现跨域上传详解
08-30
本篇文章将深入探讨如何使用Java结合WebUploader库来实现跨域上传功能。 WebUploader是一个轻量级且功能强大的JavaScript文件上传组件,它允许用户在浏览器端选择并上传文件。然而,在不同源之间发送Ajax请求时,...
非常全的跨域实现方案
weixin_42814142的博客
11-02 275
由于同源策略的限制,满足同源的脚本才可以获取资源。虽然这样有助于保障网络安全,但另一方面也限制了资源的使用。 那么如何实现跨域呢,以下是实现跨域的一些方法。 一、jsonp跨域 原理:script标签引入js文件不受跨域影响。不仅如此,带src属性的标签都不受同源策略的影响。 正是基于这个特性,我们通过script标签的src属性加载资源,数据放在src属性指向的服务器上,使用json格式。 ...
web是如何实现跨域
i_can_do_it!
11-24 317
跨域是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域 浏览器有同源策略本身是禁止跨域访问的 为什么浏览器要限制跨域访问呢?原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现cookie泄露...
15、如何实现跨域
sunnnnh的博客
05-19 3193
阮一峰老师博客浏览器同源政策及其规避方法:https://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html 跨域资源共享 CORS 详解:http://www.ruanyifeng.com/blog/2016/04/cors.html 目录 一、什么是跨域? 二、同源策略? 2.1 什么是同源策略? 2.2为什么浏览器要使用同源策略? 2.3 安全限制阻止了哪些东西不可以被访问?...
跨域的 N 种实现方式
qq_26910073的博客
10-23 194
跨域的 N 种实现方式 跨域, 什么是跨域跨域有什么好处?跨域有什么不好?怎么实现跨域? 什么是跨域 只要协议、域名、端口有任何一个不同,都被当作是不同的域,之间的请求就是跨域操作. 对于端口和协议的不同,只能通过后台来解决。 跨域有什么好处 防止 CSRF 攻击、同源策略:隔离潜在恶意文件的重要安全机制 或者使用 CSP 建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。 两种方式开启 CSP。 设置 HTTP Header 中的 Content-Security-Policy 设
实现跨域的几种方法
前端杂文
03-14 3822
实现跨域的几种方法
JAVA与AJAX跨域执行
lyy176的专栏
05-12 854
问题来源:一个jsp页面上有个链接需要访问第三方接口,第三方并返回数据给我。 问题思路:首先思考的就是使用AJAX异步方式将他所需的数据给第三方接口,第三方接口返回一系列参数,并根据SUCCESS参数,在页面上弹框显示。 过程解析:页面上写完整AJAX返回JSON数据发现不管怎么样都执行error,经过一系列的查找找到问题所在为AJAX跨域获取数据只能用JSONP,(伤心,看了API才明白是怎
实现跨域的八种方式总结
qq_40348151的博客
06-24 1662
方式一:图片ping或script标签跨域 script标签可以得到从其他来源数据,这也是JSONP依赖的根据。 方式二:JSONP跨域 JSONP(JSON with Padding)是数据格式JSON的一种“使用模式”,可以让网页从别的网域要数据。根据 XmlHttpRequest 对象受到同源策略的影响,而利用 只能使用Get请求 不能注册success、error等事件监听函数,不能很容易的确定JSONP请求是否失败 JSONP是从其他域中加载代码执行,容易受到跨站请求伪造的攻击,其安全
跨域的请求在服务端会不会真正执行?
前端开发博客
04-09 1万+
关注公众号前端开发博客,领27本电子书回复加群,自助秒进前端群上周在群里提了个问题,这是我平时面试经常会问到的一个问题,引起了大家非常激烈的讨论。这个问题看似简单,但是其实这一个问题就足以看出大家对跨域的理解,如果平时只是了解了个概念, 那这个问题大概率不会答的那么好。先揭晓一下答案,请求有的时候会被执行,有的时候不会执行。那啥时候会执行,啥时候不会执行呢?其实这个问题...
AJAX跨域实现策略:浏览器限制与解决方案详解
- **代理服务器**:调用方或被调用方可以通过设置代理服务器(如Nginx或Apache)来转发请求,改变请求源的域名,实现隐藏跨域。 - **Spring框架处理**:在Spring框架中,通过添加注解轻松实现跨域。 - **Cookie和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值