二十一:Ajax跨域请求带来的同源策略问题,及其解决

本文深入解析了浏览器的同源策略,解释了其如何影响脚本对资源的访问,以及在不同源环境下实现跨域请求的方法。通过具体实例展示了JSONP作为一种简单跨域解决方案的实现方式,同时指出了其局限性和潜在的安全风险。
摘要由CSDN通过智能技术生成

一、同源

1、先来说说什么是源
• 源(origin)就是协议、域名和端口号。
以上url中的源就是:http://www.company.com:80
若地址里面的协议、域名和端口号均相同则属于同源。
以下是相对于 http://www.a.com/test/index.html 的同源检测
http://www.a.com/dir/page.html —-成功
http://www.child.a.com/test/index.html —-失败,域名不同
https://www.a.com/test/index.html —-失败,协议不同
http://www.a.com:8080/test/index.html —-失败,端口号不同

2.什么是同源策略?
同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。

• 不受同源策略限制的:
1、页面中的链接,重定向以及表单提交是不会受到同源策略限制的。
2、跨域资源的引入是可以的。但是js不能读写加载的内容。如嵌入到页面中的<script src="..."></script>,<img>,<link>,<iframe>等。

二、跨域
1、什么是跨域
受前面所讲的浏览器同源策略的影响,不是同源的脚本不能操作其他源下面的对象。想要操作另一个源下的对象是就需要跨域。

2、何时需要跨域
就如前面所说,当想要操作另一个源下的对象是就需要跨域。

三、如何实现跨域请求
(一)简单易用JsonP

1、前端ajax请求

function search(){
    $.ajax({
        type: "get",
        url: url_pre + "/book",
        async:true,
        //这里不同于普通ajax请求(1)
        dataType:"JSONP",
        //这里不同于普通ajax请求(2)
        jsonp:"callback",
        //这里不同于普通ajax请求(3),不加这个,jQuery就会随机生成一个
        jsonpCallback:"success_jsonpCallback",
        data : {
            "key" : $('#key').val(),
            "tag" : $('#tag').val(),
            "doubanScore" : $('#doubanScore').val(),
            "sort" : $('#sort').val()
        },
        success : function(response){
            if(response.code === 1){
                for(var i=0; i<response.data.length; i++){
                    console.info("id: "+ response.data[i].id + " name: " + response.data[i].name + " author:" + response.data[i].author);
                }
            }
        }
    });
}

2、后端
普通的json数据

{
    "message":"获取成功",
    "state":"1",
    "result":{"name":"工作组1","id":1,"description":"11"}
}

jsonp格式数据

callback({
    "message":"获取成功",
    "state":"1",
    "result":{"name":"工作组1","id":1,"description":"11"}
})

  所以像以前一样只加个@ResponseBody注解得到的数据,前端是无法解析的。后台需要做相应的配合工作:

package org.pc.advice;

import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.AbstractJsonpResponseBodyAdvice;

/**
 * @author 咸鱼
 * @date 2018/8/24 17:16
 */
@ControllerAdvice(basePackages = "org.pc")
public class JsonpAdvice extends AbstractJsonpResponseBodyAdvice {
    public JsonpAdvice(){
        super("callback", "jsonp");
    }
}

  这样就会对所有返回的json格式数据进行包装,包装为jsonp格式的数据,前台可以正常解析。

3、JsonP优缺点

  • 无法发送POST请求,也就是说JSONP技术只能用于请求异域资源,无法上传数据或修改异域数据;
  • 无法监测JSONP请求是否失败;
  • 可能存在安全隐患:别忘了,JSONP之所以能成功获取异域服务器资源,靠的是服务器动态生成了回调函数,并在页面中执行,那么如果服务器在原有的回调函数下再添加些别的恶意JavaScript代码会怎样?当然也会被执行!所以在使用JSONP技术时,一定要确保请求资源的服务器是值得信赖的;

参见ResponseBody返回JsonP格式

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值