同源策略与jsonp跨域

最新推荐文章于 2022-10-24 19:22:06 发布
最新推荐文章于 2022-10-24 19:22:06 发布
阅读量1.3k 收藏
点赞数
分类专栏: web开发 文章标签: 同源策略 jsonp ajax跨域 回调函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jrn1012/article/details/39780253
版权
            一、同源策略
        同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之的,浏览器只是针对同源策略的一种实现。
        同源策略,它是由Netscape提出的一个著名的安全策略。 现在所有支持JavaScript 的 浏览器 都会使用这个策略。 所谓同源是指,域名,协议,端口相同。 当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面 当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的, 即检查是否同源,只有和百度同源的脚本才会被执行。
        为了好理解,举个例子:
        在localhost:8082和localhost:24253有TEST.js,其中TEST.js内容是alert("Hello World");
 
       localhost:8082的测试代码为:      
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>Insert title here</title>
<script src="/common/js/lib-base.js"></script>
<script> 
function test(){
	  $.get("http://localhost:24253/TEST.js", function (data) {
	        console.log(data)
	    });
	  $.get("/common/js/TEST.js", function (data) {
	        console.log(data)
	    });
	   $.get("http://localhost:8082/common/js/TEST.js", function (data) {
	        console.log(data)
	    });	
}  
</script>
</head>
<body>
     <div><input type="button" value="test"  οnclick="test()"/></div>     
</body>
</html>

点击按钮test后,弹出两个Hello World,其中在请求另外一个域资源的时候,因为同源策略而不能读取。
      
      
 
       但是在页面中加入<script src="http://localhost:24253/TEST.js></script>就可以绕过同源策略,因为这样是本地服务器访问远程服务器的信息。
 
     2、理解JSONP跨域
     JSONP正是为了解决同源策略的问题,它的基本原理就是借助script标签src属性的跨域能力,通过src返回的“回调函数名+json数据”。 然后在前台的回调函数中执行该方法。
 
      我们先来看一个JSONP示例:
      在localhost:8082上构建一个json格式数据,然后在localhost:24253上测试:
      locahost:8082的链接和结果如下:
 
    在localhost:24253上调用代码如下:
     
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title></title>
<script src="jquery-1.7.2.min.js"></script>
<script>
    function CreateScript(src) {
        $("<script><//script>").attr("src", src).appendTo("body");
    }
    function getData() {
       CreateScript("http://localhost:8082/eap/testJSONP");      
    }
</script>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <input type="button" value="get value from localhost:8082" οnclick="getData()" />
    </div>
    </form>
</body>
</html>
 
执行后,出现如下错误,因为传回的json数据会当js执行。
 
 
3、JSONP示例(原生构造与JQuery)
现在我们在localhost:8082另构造一个“回调函数+json类型”的方法http://localhost:8082/eap/testJSONP_1?callback=jsonpcallback
而在localhost:24253通过这种方式即可调用成功,代码如下: 
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title></title>
<script src="jquery-1.7.2.min.js"></script>
    <script src="json2.js"></script>
<script>
    function CreateScript(src) {
        $("<script><//script>").attr("src", src).appendTo("body");
    }
    function getData() {
       CreateScript("http://localhost:8082/eap/testJSONP_1?callback=jsonpcallback");      
    }
    
    function jsonpcallback(data) {
        alert(JSON.stringify(data));
    }
</script>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <input type="button" value="get value from localhost:8082" οnclick="getData()" />
    </div>
    </form>
</body>
</html>
 
结果如下:
 
 

而借助于JQuery则可轻松实现: 
  function getData() {        
        $.ajax({
            url: 'http://localhost:8082/eap/testJSONP_1',
            dataType: "jsonp",
            jsonp: "callback",
            success: function (data) {
                alert(JSON.stringify(data));
            }
        })
    }

 
推敲
关注
专栏目录
同源策略与cors跨域jsonp劫持
j1044957016的博客
05-31 868
文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结 前言 本文整理同源策略Ajax,cors跨域jsonp劫持 一、同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器的同源策略规定: 不同域的客户端脚本在没有
AJaxJsonp跨域访问问题小结
10-23
AJAXJSONP跨域访问问题小结 AJAX(Asynchronous JavaScript and XML)是一种在无需重新加载整个页面的情况下,能够更新部分网页的技术。它通过使用XMLHttpRequest对象来与服务器进行异步通信。XMLHttpRequest对象...
同源策略
weixin_34050427的博客
09-14 89
概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。 这里的同源指的是:同协议,同域名和同端口。精髓: 它的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的...
jsonp突破同源策略,实现跨域访问请求
崔成龙 . 勇往直前
06-06 8144
跨域访问问题,相信大家都有遇到过。这是一个很棘手的问题。不过道高一尺,魔高一丈,对于这类问题,总有解决问题的方案。最近我又接触到了这个问题,解决的途径是ajax+jsonp。 说到这个问题,不得不说一下“同源策略(Same-Origin Policy)”,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源,就是必须协议、域名、端口都一致的,才叫做同源。例如:http://www.12306.cn和https://www.1230
同源策略jsonp跨域问题
weixin_55849309的博客
07-09 133
同源策略是一种约定,他是最核心也是最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能会受到影响,可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
浏览器的同源策略jsonp跨域请求
张思阳的博客
07-09 349
1.什么是同源策略 浏览器的同源策略限制从一个源加载的文档或脚本与来自另一个源的资源进行交互。 两个页面地址中的协议、域名和端口号一致,则表示同源。 例如地址 https://www.google.com 和以下地址对比 地址 同源 原因 http://www.google.com 否 协议不一致 https://google.com 否 ...
同源策略跨域jsonp
m0_66506641的博客
09-04 114
如果两个页面的协议,域名和端口都相同,则两个页面具有相同的源。例如,下表给出了相对于 http://www.test.com/index.html 页面的同源检测:URL是否同源原因是同源(协议、域名、端口相同)否协议不同(http 与 https)否域名不同(www.test.com 与 blog.test.com)否端口不同(默认的 80 端口与 7001 端口)是同源(协议、域名、端口相同)同源策略
回调函数同源策略jsonp跨域
最新发布
tangyu520lehua的博客
10-24 845
回调函数同源策略jsonp跨域
同源策略跨域
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
同源策略JSONP
weixin_38830839的博客
05-14 869
同源策略 同源策略简述     首先来说说同源策略是什么和为什么要使用同源策略. 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 同源策略,它是由Netscape提出的一个著名的安全策略。     具体来说同源策略...
利用jsonp跨域调用百度js实现搜索框智能提示
11-25
JSONP跨域调用与百度搜索框智能提示】 在Web开发中,由于浏览器的同源策略限制,JavaScript无法直接发起跨域请求。为了解决这个问题,JSONP(JSON with Padding)应运而生。JSONP是一种绕过同源策略的技术,通过...
基于AdminLTE的开发框架-AdminEAP
热门推荐
jrn1012的专栏
08-22 6万+
AdminEAP是基于AdminLTE的开发框架,目前所包含的系统功能有:Component组件集成、CURD增删改查demo、系统工具、工作流、系统权限与安全、Github源码与License、联系我们,提供了前端、后端整体解决方案,使得web开发更简单。
使用session监听+spring MVC拦截器禁止用户重复登录
jrn1012的专栏
05-14 2万+
在许多web项目中,需要禁止用户重复登录,及
使用BootstrapValidator进行注册校验和登录错误提示
jrn1012的专栏
01-17 1万+
介绍在AdminEAP框架中,使用了BootstrapValidator校验框架,本文以注册校验的用户名、登录名、密码、确认密码的校验为例,讲述BootstrapValidator的使用。同时以登录错误提示为例,说明如何在动态改变组件的错误提示信息。
web即时通信1--WebSocket与WebRTC的三种实现方式对比
jrn1012的专栏
12-17 1万+
最近应项目组要求研究了下WebRTC(目前支持Firefox和Chrome),WebRTC,名称源自网页实时通信(Web Real-Time Communication)的缩写,是一个支持网页浏览器进行实时语音对话或视频对话的技术,WebRTC使得开发者在浏览器无需安装任何插件就可以实现语音视频通信。本文对比了目前三种实现WebRTC和WebSoket的方式。
Spring MVC前端与后端5种ajax交互方式
jrn1012的专栏
09-24 1万+
前端ajax
web即时通信2--基于Spring websocket实现web聊天室
jrn1012的专栏
12-22 1万+
本文使用Spring4和websocket搭建一个web聊天室,框架基于SpringMVC+Spring+Hibernate的Maven项目,后台使用spring websocket进行消息转发和聊天消息缓存。客户端使用socket.js和stomp.js来进行消息订阅和消息发送。详细实现见下面代码。
跨域问题详解:同源策略JSONP解决方案
"本文档主要探讨JavaScript中的跨域问题,这是由于浏览器的同源策略导致的限制,即同一源(协议、域名和端口号)下的JavaScript脚本与不同源的内容之间存在交互限制。同源策略的目的是为了保护用户隐私和数据安全,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值