Ajax-跨域-同源政策、Jsonp解决同源限制、CORS跨域资源共享

最新推荐文章于 2021-05-31 21:10:33 发布
最新推荐文章于 2021-05-31 21:10:33 发布
阅读量260 收藏 1
点赞数 1
分类专栏: Ajax 文章标签: JONSP 同源政策 CORS跨域资源共享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39206750/article/details/103332769
版权

Ajax请求限制
Ajax 只允许向自己的服务器发送请求。

同源政策

同源:
多个页面拥有相同的协议域名和端口、否则不同源
多个页面、多个请求在同一个服务=同源
http和https是不相同的协议

同源政策的目的
同源政策是为了保证用户信息的安全,防止恶意的网站窃取数据。最初的同源政策是指A 网站在客户端设置的 Cookie,B网站是不能访问的。
因为同源政策的限制:不允许ajax向不同源服务端发送请求、浏览器拒收

JSONP 解决同源限制问题

jsonp 是 json with padding 的缩写,它不属于 Ajax 请求,但它可以模拟 Ajax 请求。

步骤

1、将不同源的服务器端请求地址写在 script 标签的 src 属性中。
<script src="www.example.com"></script>
<script src=“https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
2、服务器端响应数据必须是一个函数的调用,真正要发送给客户端的数据需要作为函数调用的参数。
 const data = 'fn({name: "张三", age: "20"})';
 res.send(data);
3、在客户端全局作用域下定义函数 fn。
	//将函数定义在服务器加载的前面
	function fn(data) {
	4、在 fn 函数内部对服务器端返回的数据进行处理。
		console.log('客服端函数被调用');
		console.log(data);	
	  }
//函数必须写在不同源服务请求的script前面

jsonp优化

1、客户端需要将函数名称传递到服务器
2、将script请求的发送编程动态请求
3、封装jsonp函数,方便请求发送
4、动态创建一个script标签
5、为script标签添加src属性 给封装函数传入对象参数
6、将script标签追加到页面中
7、在script标签完成后 把标签移除
8、因为发送的函数写在外面,导致封装性不好,所以把函数写在传递的参数对象中,需要注意的是在封装时把函数挂载在window中 使它变成全局的函数,还有一点要注意的是,在多个事件调用函数时前一个事件调用的函数可能会被后面事件调用的函数覆盖 所以在给函数命名时,使用随机命名
注意:这不是ajax请求、是模拟ajax

<script type="text/javascript">
		//点击提交按钮
 document.getElementById('btn1').onclick = function () {
			//请求非同源服务
			jsonp({
				url: 'http://localhost:3001/better',
				success: function (data) {
					console.log(123);
					console.log(data);

				}
			})
		}
	document.getElementById('btn2').onclick = function () {
			//请求非同源服务
			jsonp({
				url: 'http://localhost:3001/better',
				data:{
					name:'xiaoli',
					age:30
				},
				success: function (data) {
					console.log(1233333);
					console.log(data);

				}
			})
		}
		//封装 jsonp 函数,方便请求发送
		function jsonp(options) {
			//创建script标签
			var script = document.createElement('script');
			//准备把参数拼接为字符串的变量
			var params='';
			//遍历要传递的参数
			for(var attr in options.data){
				//以字符串形式拼接(参数名=参数值、多个参数之间用&隔开)
				params+='&'+attr+'='+options.data[attr];
				//拼接好后把参数放到请求的地址后面
			}
			//定义一个随机函数、挂载到window下、防止重名覆盖问题
			var fnName='myJsonp'+Math.random().toString().replace('.','');
			//把fn放入jsonp中、然后让它变成全局对象
			window[fnName] = options.success;
			//为script标签添加src属性
			script.src = options.url + '?callback='+fnName+params;
			//将script属性添加到页面中
			document.body.appendChild(script);
			//标签创建完后移除
			script.onload = function () {
				document.body.removeChild(script);
			}


		}

	</script>

//服务端代码优化
app.get('/better', (req, res) => {
	// 接收客户端传递过来的函数的名称
	//const fnName = req.query.callback;
	// 将函数名称对应的函数调用代码返回给客户端
	//const data = JSON.stringify({name: "张三"});
	//const result = fnName + '('+ data +')';
	// setTimeout(() => {
	// 	res.send(result);
	// }, 1000)
		//express方法
	res.jsonp({name: 'lisi', age: 20});
});

获取腾讯天气信息案例

<body>
	<div class="container">
		<table class="table table-striped table-hover" align="center" id="box">

		</table>
	</div>

</body>
<script src="/js/jsonp.js"></script>
<script src="/js/template-web.js"></script>
<script type="text/html" id="tpl">
	<tr>
	<!-- 创建天气模板、遍历天气数据 -->
			<th>时间</th>
			<th>温度</th>
			<th>天气</th>
			<th>风向</th>
			<th>风力</th>
		</tr>
		{{each info}}
		<tr>
	<!-- 创建天气模板、遍历天气数据 -->
			<td>{{dateFormat($value.update_time)}}</td>
			<td>{{$value.degree}}</td>
			<td>{{$value.weather}}</td>
			<td>{{$value.wind_direction}}</td>
			<td>{{$value.wind_power}}</td>
		</tr>
		{{/each}}
</script>
<script>
	//获取父元素
	var box=document.querySelector('#box');
	
       function dateFormat(data){
		 //  console.log(data);
		   
		   //截取年月日、时分秒
			var  year=data.substr(0,4);
			var  month=data.substr(4,2);
			var  day=data.substr(6,2);
			var  hour=data.substr(8,2);
			var  minute=data.substr(10,2);
			var  seconds=data.substr(12,2);
			let time=year+'年'+month+'月'+day+'日'+hour+'时'+minute+'分'+seconds+'秒';
			 return time ;	   
	  }
	//开放一个模板公共变量(必须是函数)
	template.defaults.imports.dateFormat=dateFormat;

	//向非同源服务器获取天气信息
	jsonp({
		url: 'https://wis.qq.com/weather/common',
		data: {
			source: 'pc',
			weather_type: 'forecast_1h',
			//多个数据调用
			// weather_type:'forecast_1h|forecast_24h',
			province: 'xx省',
			city: 'xx市'
		},
		success: function (data) {
		//模板拼接
		var html=template('tpl', { info: data.data.forecast_1h });
		console.log(html);
		box.innerHTML=html;
		

		}
	})
</script>
CORS 跨域资源共享

CORS:全称为 Cross-originresource sharing,即跨域资源共享,
服务端做配置然后允许浏览器向跨域服务器发送 Ajax 请求
在这里插入图片描述
请求过程
如果是跨域、客户端请求是会携带origin、服务端请求头配置了Access-Control-Allow-Origin的话就允许通过同源限制(相当于白名单)

 在服务端设置响应头
 	// 1.允许哪些客户端访问我
	// * 代表允许所有的客户端访问我
 	res.header('Access-Control-Allow-Origin', 'http://localhost:3000')
	// 2.允许客户端使用哪些请求方法访问我
	res.header('Access-Control-Allow-Methods', 'get,post')
 //一般都设置在拦截所有请求的响应代码中 记得调用next方法向下传递

同源政策是浏览器对ajax技术的限制、服务端不存在同源限制

跨服务响应数据
a页面访问a服务、a服务访问b服务、然后在响应回a页面、
下载request第三方模块、使用返回的request方法

app.get('/server', (req, res) => {
//a服务访问b服务
	request('http://localhost:3001/cross', (err, response, body) => {
		res.send(body);
	})
});

cookie
客户端请求时,服务器响应 并且给客户端一个唯一的标识

在使用Ajax技术发送跨域请求时,默认情况下不会在请求中携带cookie信息

withCredentials://指定在涉及到跨域请求时,是否携带cookie信息 默认为false–客户端
Access-Control-Allow-Credentials: true//允许客户端发送请求时携带cookie --服务器端

	// 当发送跨域请求时携带cookie信息
			 xhr.withCredentials=true;
	// 允许客户端发送跨域请求时携带cookie信息
	res.header('Access-Control-Allow-Credentials', true);
这两个设置要同时设置 否则不会成功携带cookies
good法乐
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
跨越解决方案之JSONP
IT修真院:初学者转行到互联网的聚集地
06-03 423
这里是修真院前端小课堂,每篇分享文从 【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】 八个方面深度解析前端知识/技能。 本篇分享的是:跨越解决方案之JSONP 大家好,我是IT修真院北京分院杨纲,一枚正直纯洁善良的WEB前端程序员。 1.背景介绍 所有支持Javascript的浏览器都会使用同源策略这个安全策略。导致我们无法直...
Ajax跨域问题解决方案(jsonpcors
01-19
跨域 跨域有三个条件,满足任何一个条件就是跨域  1:服务器端口不一致  2:协议不一致  3:域名不一致 解决方案: 1.jsonp  在远程服务器上设法动态的把数据装进js格式的文本代码段中,供客户端调用和进一步...
JSONP跨域
颠覆我的整个世界,只为摆正你的身影
01-28 166
根据同源策略的限制,在端口号,域名,协议其中有一个或者多个不同的时候,所发出来的请求都是跨域请求,受到了跨域限制。但是也有例外:比如:&lt;script&gt;标签访问的时候,可以不受同源策略的限制,但只能是GET请求   (1)JSONP使用也很广泛,在我之前做的电信项目里面,因为和多个CP方合作。对方的后端服务器不支持CORS方法,所以很多跨域请求都是通过JSONP实现的,再比如QQ,豆...
jsonp跨域原理
weixin_39147099的博客
11-27 596
什么是同源政策? “同源”是指“三个相同”: 协议相同 域名相同 端口相同 目的 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 限制范围 目前,如果非同源,共有三种行为受到限制。 (1) 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB。 (2) 无法接触非同源网页的 DOM。 (3) 无法向非同源地址发送 AJAX 请求(可以发...
跨域实现策略
光头小小强007的博客
08-07 219
同源策略 同源策略介绍 说明:在浏览器中发起ajax请求时,必须满足三大要素.否则浏览器不予解析返回值. 要素: 请求协议名称 http/https 请求域名 请求端口号 如果上述三项都相同,则为同域访问.满足同源策略的要求. 如果上述三项有一项不满足,则违反了同源策略,为跨域访问.浏览器不予解析返回值. 关于同源策略的说明 跨域实现策略-jonsp JSONP介绍 JSONP原理说明 利用javaScript中的src属性实现跨域. <script type="text/
Ajax跨域请求解决方案-JSONP
12-03
因此,在现代Web开发中,更安全和功能强大的CORS(Cross-Origin Resource Sharing)跨域资源共享策略逐渐成为首选。然而,对于兼容老版本浏览器或者简单的跨域需求,JSONP仍然是一种有效的选择。
跨域请求资源-jsonpcors区别.pdf
最新发布
04-09
对于开发者来说,CORS通信与同源AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。 因此,实现CORS通信的关键是...
跨域解决JSONPCORS的详细介绍
01-19
JSONP跨域CORS跨域 什么是跨域跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制同源策略 同源策略:域名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
说说JSON和JSONP,也许你会豁然开朗,含jQuery用例
sdnxyr的博客
12-04 1万+
转载自博客园 随他去吧 原创文章 点击进入原文  前言:   说到AJAX就会不可避免的面临两个问题,第一个是AJAX以何种格式来交换数据?第二个是跨域的需求如何解决?这两个问题目前都有不同的解决方案,比如数据可以用自定义字符串或者用XML来描述,跨域可以通过服务器端代理来解决。 但到目前为止最被推崇或者说首选的方案还是用JSON来传数据,靠
轻松搞定JSONP跨域请求
诗渊的博客
07-26 8万+
本文介绍了通过JSONP实现跨域请求,首先介绍了“同源策略”,然后介绍了同构JavaScript动态加载script标签的方法,实现JSONP跨域,最后介绍了jQuery中对JSONP的封装和使用
java jsonp 跨域实例_[Java教程]jsonp跨域
weixin_42516581的博客
03-06 183
[Java教程]jsonp跨域0 2018-08-31 09:00:11首先我们来说说什么是跨域跨域:是指从一个域名的网页去请求另一个域名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。但是一般情况下不能这么做,它是由浏览器的同源策略造成的这里我们又会有一个问题 啥叫同源策略啊,那我们再来说说同源策略,首先什么叫同源呢 字面理解就是相同的起...
JSONP的方式检查用户名是否重复
guoba318的专栏
10-05 731
function checkuserViaJsonp() { var JSONP = document.createElement("script"); var userName = document.getElementById("user-name").value; JSONP.type = "text/javascript"; JSONP.src = "http://127.0.0.
同源策略限制跨域问题解决方法
Dream_Lee的博客
01-28 3902
什么是同源策略 同源策略是浏览器上为安全性考虑实施的非常重要的安全策略。 什么是同源 同源是指相同的协议、域名、端口,三者都相同才属于同域。不符合上述定义的请求,则称为跨域。 (URL由协议、域名、端口和路径组成) 浏览器的同源策略,限制了来自不同源的&amp;amp;quot;document&amp;amp;quot;或脚本,对当前&amp;amp;quot;document&amp;amp;quot;读取或设置某些属性。从一个域上加载的脚本不允许访问另外一个域的文档属
jonsp数据解析 java,javaSQL.SQLException:解析可调用语句元数据时的内部错误(缺少参数类型)...
weixin_39915700的博客
03-02 259
I get this error when executing a stored proc .Here is the declaration of the procedure.`SP_GetStatusReports`(IN phNum varchar(200),IN sel int,IN depid int,IN date1 varchar(30),IN sub varchar(40),IN m...
利用JSONP跨域请求腾讯天气(内附代码)
lyx9904的博客
05-31 1375
除了CORS实现跨域,也可以利用JSONP,不过JSONP只能实现get请求,并且受URL地址长度的限制。 首先打开腾讯天气的网站,打开network,找到类型为script报文(双击查看哪个是请求天气的,记得下载jsonp插件),分析请求参数 https://wis.qq.com/weather/common?source=pc&weather_type=observe%7Cforecast_1h%7Cforecast_24h%7Cindex%7Calarm%7Climit%7Ctips%7Cri
一文看懂JSONP原理和应用
热门推荐
Mr.赵的专栏
09-27 9万+
什么是JSONP首先提一下JSON这个概念,JSON是一种轻量级的数据传输格式,被广泛应用于当前Web应用中。JSON格式数据的编码和解析基本在所有主流语言中都被实现,所以现在大部分前后端分离的架构都以JSON格式进行数据的传输。那么JSONP是什么呢? 首先抛出浏览器同源策略这个概念,为了保证用户访问的安全,现代浏览器使用了同源策略,即不允许访问非同源的页面,详细的概念大家可以自行百度。这里大家
常用的前端跨域的几种方式
weixin_34320724的博客
05-29 326
前端跨域 前端跨域有多少种情况 CORS 跨域 jsonp 跨域 postMessage document.domain 一般情况下我们使用比较多的就是 Cross-Origin和 jsonp 这两种方式。postMessage 和 document.domain 使用的不是很多。下面我会介绍他们如何使用和使用的场景还有一些不常见的问题CORS 全拼 cross-origin resour...
Ajax跨域解决方案:JSONPCORS与代理请求
本文主要探讨了Ajax跨域问题及其解决方案,包括JSONPCORS和代理请求三种方式,并介绍了如何分析和识别Ajax跨域问题。 ### 什么是Ajax跨域 Ajax跨域是由于浏览器的“同源策略”限制,使得JavaScript在发送Ajax请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值