同源政策(跨域请求)

最新推荐文章于 2022-09-05 13:13:42 发布
最新推荐文章于 2022-09-05 13:13:42 发布
阅读量109 收藏
点赞数
分类专栏: 前端开发 文章标签: ajax javascript jsonp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39021074/article/details/118659342
版权

同源:如果两个页面有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源。不同源的网站之间是不允许发送ajax请求的
解决方案:

1.JSONP解决同源限制问题,其整体原理如下(若想直接用可直接跳转到优化4):

假设有两个服务器,服务器 s1监听3000端口,s2监听3001端口

// s1服务器对应的前端代码
<script>
    function fn (data) {
        console.log('3000服务器的客户端被执行了')
        console.log(data)
    }
</script>
// 函数定义要写在前面 不需要在这里调用函数 等另一个服务器返回函数调用
<script src="http://localhost:3001/test"></script> 

// s2服务器对应的服务器端代码
app.get('/test', (req, res) => {
    var result = 'fn({username: "zhangsan"})'
    res.send(result) // 将函数调用传递过去
})

优化1:将客户端定义的函数名字通过get参数的方式传递给服务器端 并在服务器端采用字符串拼接的方式进行传递 

// s1服务器对应的客户端代码
<script>
    function fn (data) {
        console.log('3000服务器的客户端被执行了')
        console.log(data)
    }
</script> // 函数定义要写在前面 不需要在这里调用函数 等另一个服务器返回函数调用
<script src="http://localhost:3001/better?callback=fn"></script> 
// s2服务器对应的服务器端代码
app.get('/better', (req, res) => {
    var funName = req.query.callback // 获取客户端传递过来的get参数
    var result = funName + '({username: "zhangsan"})'
    res.send(result) // 将函数调用传递过去
})

优化2:当点击按钮时再发送请求

// s1服务器对应的前端代码
<button id="btn">点击</button>

<script>
    function fn (data) {
        console.log('3000服务器的客户端被执行了')
        console.log(data)
    }
</script> // 函数定义要写在前面 不需要在这里调用函数 等另一个服务器返回函数调用
<script type="text/javascript">
    var btn = document.getElementById('btn')
    btn.onload = function () {
        var script = document.createElement('script)
        script.src = "http://localhost:3001/better?callback=fn"
        document.body.appendChild(script)
        script.onload = function () {
            document.body.removeChild(script)
        }
    }
</script>
// <script src="http://localhost:3001/better?callback=fn"></script> 

// s2服务器对应的服务器端代码
app.get('/better', (req, res) => {
    var funName = req.query.callback // 获取客户端传递过来的get参数
    var result = funName + '({username: "zhangsan"})'
    res.send(result) // 将函数调用传递过去
})

优化3:封装jsonp方法

// s1服务器对应的前端代码
<button id="btn">点击</button>

<script>
    function fn (data) {
        console.log('3000服务器的客户端被执行了')
        console.log(data)
    }
</script> // 函数定义要写在前面 不需要在这里调用函数 等另一个服务器返回函数调用
<script type="text/javascript">
    var btn = document.getElementById('btn')
    btn.onload = function () {
        jsonp({
            url: "http://localhost:3001/better?callback=fn"
        })
    }
    function jsonp (options) {
        var script = document.createElement('script)
        script.src = options.url
        document.body.appendChild(script)
        script.onload = function () {
            document.body.removeChild(script)
        }
    }
</script>

// s2服务器对应的服务器端代码
app.get('/better', (req, res) => {
    var funName = req.query.callback // 获取客户端传递过来的get参数
    var result = funName + '({username: "zhangsan"})'
    res.send(result) // 将函数调用传递过去
})

优化4:将处理函数与jsonp函数进行关联 同时自动生成函数名 支持传递多个参数

// s1服务器对应的前端代码
<button id="btn">点击</button>

<script type="text/javascript">
    var btn = document.getElementById('btn')
    btn.onload = function () {
        jsonp({
            url: "http://localhost:3001/better",
            data: {
                username: 'lisi',
                age: 20
            },
            success: function (data) {
                console.log('3000服务器的客户端被执行了')
                console.log(data)
            }
        })
    }
    function jsonp (options) {
        var script = document.createElement('script)
        // 拼接字符串
        var params = ''
        for (var attr in options.data) {
            params += '&' + attr + '=' + options.data[attr]
        }

        var funName = 'myJsonp' + Math.random().toString().replace('.', '') // 函数名不能是纯数字
        // options.success 客户端定义的函数应该是全局函数 所以将其挂载到window下
        // window.fn1 = options.success // 将函数变成全局函数 此时函数名固定 为fn1
        // script.src = options.url + '?callback=fn1'
        // 将函数名变成随机生成的 避免重复 如果重复 后调用的值会覆盖之前调用返回的值
        window[funName] = options.success // 将函数变成全局函数 变量不能用'.' 用'[]'调用或添加
        script.src = options.url + '?callback=' + funName + params
        document.body.appendChild(script)
        script.onload = function () {
            document.body.removeChild(script)
        }
    }
</script>

// s2服务器对应的服务器端代码
app.get('/better', (req, res) => {
    var funName = req.query.callback // 获取客户端传递过来的get参数
    var result = funName + '({username: "zhangsan"})' // 传递给send的是一个字符串
    res.send(result) // 将函数调用传递过去
})

优化4中还可对s2服务器对应的服务器端代码进行优化,总代码如下:

// s1服务器对应的前端代码
<button id="btn">点击</button>

<script type="text/javascript">
    var btn = document.getElementById('btn')
    btn.onload = function () {
        jsonp({
            url: "http://localhost:3001/better",
            data: {
                username: 'lisi',
                age: 20
            },
            success: function (data) {
                console.log('3000服务器的客户端被执行了')
                console.log(data)
            }
        })
    }
    function jsonp (options) {
        var script = document.createElement('script)
        // 拼接字符串
        var params = ''
        for (var attr in options.data) {
            params += '&' + attr + '=' + options.data[attr]
        }

        var funName = 'myJsonp' + Math.random().toString().replace('.', '') // 函数名不能是纯数字
        // options.success 客户端定义的函数应该是全局函数 所以将其挂载到window下
        // window.fn1 = options.success // 将函数变成全局函数 此时函数名固定 为fn1
        // script.src = options.url + '?callback=fn1'
        // 将函数名变成随机生成的 避免重复 如果重复 后调用的值会覆盖之前调用返回的值
        window[funName] = options.success // 将函数变成全局函数 变量不能用'.' 用'[]'调用或添加
        script.src = options.url + '?callback=' + funName + params
        document.body.appendChild(script)
        script.onload = function () {
            document.body.removeChild(script)
        }
    }
</script>

// s2服务器对应的服务器端代码
app.get('/better', (req, res) => {
    const funName = req.query.callback // 获取客户端传递过来的get参数
    const data = JSON.stringify({username: "zhangsan"})
    const result = funName + '(' + data + ')' // 传递给send的是一个字符串
    res.send(result) // 将函数调用传递过去 接收字符串 此时传递过去的是函数调用 客户端接收时参数就是对象格式就不需要再用JSON.parse()进行转换了
    // 如果是单纯传递一个字符串 在客户端调用时需要先将字符串转成json格式
})

2.CORS实现跨域资源共享,它允许浏览器向跨域服务器发送Ajax请求 克服了Ajax只能同源使用的限制

其基本实现原理为:

s1服务器对应的客户端正常向s2服务器发起ajax请求,s2服务器端设置请求头信息即可实现跨域请求

// s2服务器对应的服务器端代码
app.use((req, res, next) => {
    // 1.允许哪些客户端访问我
    // *代表允许所有的客户端访问我
    res.header('Access-Control-Allow-Origin', '*')
    // 2.允许客户端使用哪种请求方式访问我
    res.header('Access-Control-Allow-Methods', 'get, post')
    next()
})

3.访问非同源数据 服务器端解决方案

同源政策是浏览器给予Ajax技术的限制,服务器端是不存在同源政策的限制,s1网站的客户端向s1服务器端发送数据请求,然后s1服务器向s2服务器发送数据请求,最后s1服务器将获取到的数据再响应给s1网站的客户端。

1.s1网站的客户端正常向s1服务器端发送ajax请求,并在s1服务器端安装request模块,命令为: npm install request

s1网站的服务器端:

const request = require('request')
app.get('/server', (req, res) => {
    request('http://localhost:3001/cross', (err, response, body) => {
        res.send(body) // 向http://localhost:3001/cross发送请求 body为s2服务器端返回的数据
    })
})

s2网站的服务器端:

app.get('/cross', (req, res) => {
    res.send('ok')
})

一条小姜鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同源政策
aaeoj8957的博客
05-20 107
同源策略限制从一个源加载的文档或脚本与来自另一个源的资源进行交互,这是一个用于隔离潜在恶意文件的关键的安全机制.简单说就是浏览器的一种安全策略。 “同源”包括三个条件: 同协议 同域名 同端口 虽然同源策略在安全方面起到了很好的防护作用,但也在一定程度上限制了一些前端功能的实现,所以就有了许多跨域的手段。 所有带src或href属性的标签以及部分其他标签可以跨域...
同源策略
samueli的专栏
08-08 108
概念:       同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。       这里的同源指的是:同协议,同域名和同端口。 精髓:       它的精髓很简单:它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时,它们应该只被允许访问来自同一站点的...
同源政策(same-origin policy)
TKOP_的博客
04-20 1688
尽力使用简洁通俗的语言去概括自己对浏览器同源政策的理解。在理解同源政策后了解有哪些实现跨域资源访问的方式,例如 JSONP、CORS 和 WebSocket 等。
SpringBoot解决跨域请求拦截问题代码实例
08-25
SpringBoot解决跨域请求拦截问题代码实例 在微服务开发中,一个系统...通过本文,可以了解到SpringBoot解决跨域请求拦截的问题,并且学习到了相关的知识点,例如同源策略、跨域拦截、SpringBoot解决跨域请求拦截等。
JS跨域请求的问题解析
12-02
如果上面两个域名想互相访问就需要跨域请求,一般情况下同源政策规定:允许跨源 写入,而不允许跨源 读取这意味着同源政策不会阻止将数据写入,只会禁止他们从域中读取数据, 或者对从其域收到的响应做任何事情。...
Spring Boot和Vue跨域请求问题原理解析
08-25
跨域请求是指在Web应用程序中,从一个域名下的Web页面去请求另一个域名下的资源,这种请求方式会出现安全问题,为了解决这个问题,出现了同源政策(Same-Origin Policy)。同源政策规定,一个域名下的Web页面不能...
iframe 跨域访问session
01-28
通过在响应头中添加`P3P`政策,服务器告诉浏览器它尊重用户的隐私。但这并不总是有效,因为并非所有浏览器都支持或严格遵守P3P。 2. **CORS(Cross-Origin Resource Sharing)**:CORS是一种现代的跨域访问控制机制...
js跨域对象类
11-13
JavaScript中,使用XMLHttpRequest或fetch API发送跨域请求时,只需确保服务器端配置了正确的CORS头部即可。例如,使用fetch发起一个跨域GET请求: ```javascript fetch('http://other-origin.com/api') .then...
关于同源政策
weixin_47505105的博客
03-11 182
1. 使用 JSONP 解决同源限制问题,2. 封装 jsonp 方法3. 第二种非同源请求限制的解决方案 ----CORS跨域资源共享
同源政策 (SOP)
allway2的博客
09-05 631
其目的是将浏览器窗口(和选项卡)相互隔离,例如,当您访问 example.com 时,该网站将无法读取您来自 gmail.com 的电子邮件,而您可能在另一个网站上打开了这些电子邮件标签。这意味着,如果您在网站的 iframe 中加载恶意网站,该框架可以将您网站的 URI 更改为例如网络钓鱼页面(克隆您的页面,例如窃取用户密码或让他们下载恶意的东西)。:如果您指定这样的 CORS 标头,您将给予允许的来源完全控制您的网站,包括任何经过身份验证的用户数据和功能。它谈论的是预检请求请求模式。
同源政策ajax
woai_mihoutao的博客
05-04 169
一、Ajax请求限制 ajax只能响应自己的服务器发送请求。比如现在有一个A网站,有一个B网站,A网站中的HTML文件只能向A网站服务器发送Ajax请求,B网站中的HTML文件只能向B网站中发送Ajax请求,但是A网站是不能向B网站发送Ajax请求的,同理,B网站也不能向A网站发送Ajax请求。 二、什么是同源 如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源。 例如: 原网址:http://www.example.com/dir/page.h
同源政策及解决方案
weixin_42056687的博客
08-04 246
文章目录1,同源1.1同源是什么1.2同源政策1.3同源限制的解决方案1.3.1使用jsonp解决同源限制的问题 1,同源 1.1同源是什么 如果两个页面的协议,域名和端口一致则这两个页面属于同一个源,其中只要有一个不相同就是不同源。 1.2同源政策 ajax只能向自己的服务器发送请求,例(A网站中的HTML文件只能向A网站服务器发送ajax请求,B网站中的HTML只能向B网站发送ajax请求同源政策的目的:保护用户信息的安全,防止恶意的网站窃取。 1.3同源限制的解决方案 第一种jsonp 解决跨域
Ajax学习笔记(三)--- 同源政策和跨域解决方案
weixin_45092437的博客
10-07 451
一、同源政策 ​ 什么是同源?如果两个页面拥有相同的协议、域名和端口,那这两个页面就属于同源页面,如果有其中一项不同,就是不同源。 ​ 同源政策的目的是为了保证用户的信息安全,防止恶意网站窃取数据。最初的同源政策是指 A 网站在客户端设置的 Cookie,B网站是不能访问的。随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中有一项规定就是无法向非同源地址发送Ajax 请求,如果请求,浏览器就会报错。 ​ 简单来说,就是Ajax 只能向自己的服务器发送请求。比如现在有一个A网站、有一个B网站
【前端必备基础】同源政策
IU
06-28 369
同源政策 三大要素 协议 域名 端口号 例如:http://www.baidu.com/这个网址就是一个源 ,他的三要素 - 协议 http:// - 域名 www.baidu.com - 端口 80(端口为80可以省略) –【三要素只要有一个对不上,就是不同源】 http://www.baidu.com/dir2/other.html 同源 http://baidu.com/dir/o...
什么是同源政策?使用JSONP解决同源限制问题
cake_eat的博客
10-23 181
什么是同源? 如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源。 例如:对于http://www.example.com/dir/page.html http://www.example.com/dir2/other.html:同源 http://example.com/dir/other.html:不同源(域名不同)http://v2.www.example.com/dir/other.html:不同源(域名不同)http://www.example.
vue同源请求的跨域解决
最新发布
07-12
在Vue中进行同源请求的跨域解决方法有以下几种: 1. 代理服务器:在开发环境下,可以通过配置代理服务器来实现跨域请求。在Vue的配置文件(vue.config.js)中添加以下代码: ```javascript module.exports = { devServer: { proxy: { '/api': { target: 'http://api.example.com', // 跨域请求的目标地址 changeOrigin: true, pathRewrite: { '^/api': '' // 将请求地址中的 '/api' 替换为空字符串 } } } } } ``` 这样,当你在代码中发起以 '/api' 开头的请求时,Vue会将请求转发到目标地址,实现跨域请求。 2. JSONPJSONP是一种通过动态创建<script>标签来实现跨域请求的方法。在Vue中,可以使用第三方库如`vue-jsonp`来实现JSONP跨域请求。 首先,安装`vue-jsonp`: ```bash npm install vue-jsonp --save ``` 然后,在Vue实例中使用`vue-jsonp`: ```javascript import Vue from 'vue' import VueJsonp from 'vue-jsonp' Vue.use(VueJsonp) Vue.jsonp('http://api.example.com/api', { /* 请求参数 */ }) .then(response => { // 处理返回的数据 }) .catch(error => { // 处理错误 }) ``` 3. CORS(跨域资源共享):如果服务器支持CORS,可以在服务器端设置响应头来实现跨域请求。在Vue中,只需要正常发起请求即可。 请注意,以上方法仅适用于开发环境下的跨域请求,生产环境中应该由服务器来处理跨域请求

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值