一、什么是同源策略及限制
由于端口不同、协议不同、域名不同,所以不同源的资源访问就会受到限制
1、cookie,localstorage、indexDB不能获取
2、dom不能获取
3、ajax请求不能发送(只适合同源的)
二、前后端如何通信
1、ajax
2、webSocket(不受同源策略限制)
3、cors(支持跨域,也支持同源通信)
4、jsonp实现不同源的通信
三、如何创建ajax
1、XMLHttpRequest对象的工作流程
2、兼容性处理
3、事件的触发条件
4、事件的触发顺序
var xhr=new XMLHttpRequest();
xhr.onreadystatechange=function(){
if(xhr.readyState==4 &&xhr.status==200){
console.log(JSON.parse(xhr.responseText))
}
}
//如果是get
xhr.open('post','./api.json');
xhr.send();
//post
xhr.open('post','./api.json')
xhr.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xhr.send();
四、跨域通信的几种方式
1、jsonp跨域
2、hash (url中#后面的东西,#后的内容变,页面不会刷新,做缓冲器的一个基本的原理)
url中?后面的那个search,search的改变会刷新页面的,所以search不能做跨域通信
3、postMessage
h5实现
4、WebSocket
不受同源策略的限制
5、cors
支持跨域通信的ajax,浏览器请求头中就有一个origin:,就可以支持跨域了
1、jsonp跨域的原理
就是利用动态创建script标签,通过get请求,请求src的地址,并且指定callback函数名,注册一个全局的函数,监听完后响应onload,判断是否成功,是否拿到了数据,最后删除函数或变量ByTagName来把script标签加到页面上
缺点:它只支持GET请求而不支持POST等其它类型的HTTP请求,第二点:不安全,容易遭到xss攻击
就是通过script标签的异步加载来实现的,服务器返回的是callback回调函数的内容
<script>
var text=document.getElementsByClassName("text")[0];
text.onkeydown= function () {
var val = text.value;
var script = document.createElement('script')
script.src ="https://sp0.baidu.com/5a1Fazu8AA54nxGko9WTAnF6hhy/su?wd=${val}&cb=dosomething";
document.body.appendChild(script)
}
function dosomething (res) {
console.log(res);
}
</script>
2、hash(两个iframe之间)
实现原理:location.hash
当前页面A通过ifame嵌入了页面B
在A中
var B=document.getElementsByTagName('iframe');
B.src= B.src+'#'+'data';
在B中
window.onhashchange=function(){
var data=window.location.hash;
}
3、postMessage
原理:利用h5给window新增的APIpostMessage
A向B发送信息
//在a中
window.postMessage('data','http://B.com')
//在b中
window.addEventListener('message',function(event){
console.log(event.origin);//http://A.com
console.log(event.source);//Awindow
console.log(event.data);//data;
})
4、webSocket
服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息
1、没有同源限制,客户端可以与任意服务器通信。
2、协议标识符是ws(如果加密,则为wss
var ws = new WebSocket(“wss://echo.websocket.org”);
ws.onopen = function(evt) { //用于指定连接成功后的回调函数
console.log(“Connection open …”);
ws.send(“Hello WebSockets!”);//向服务器发送数据
};
ws.onmessage = function(evt) {//用于指定收到服务器数据后的回调函数
console.log( "Received Message: " + evt.data);
ws.close();
};
ws.onclose = function(evt) {//用于指定连接关闭后的回调函数
console.log(“Connection closed.”);
};
5、cors
它是一个变种的ajax,
原理
支持跨域通信的ajax,浏览器请求头中就有一个origin:,就可以支持跨域了
新的用法fetch
简单请求
(1)请求方式是以下三种方法之一
1、HEAD
2、GET
3、POST
(2)HTTP头信息不能超过以下几种字段
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
对于简单请求,只需要在头信息中加入一个origin字段(来自的源)
若服务器不支持,返回的在xmlhttpRuqest的onerror回调函数捕获,多出几个信息字段
1、Access-Control-Allow-Origin可以接收请求的域
2、Access-Control-Allow-Credentials表示是否允许发送cookie
3、Access-Control-Expose-Headers
XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader(‘FooBar’)可以返回FooBar字段的值。
withCredentials 属性
Access-Control-Allow-Credentials: true
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
发送Cookie
非简单请求
非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
预检请求
浏览器在正式通信之前会进行一次预检请求,确认域名,请求方式,头信息是否被服务器许可
1、方法:OPTIONS,
2、Access-Control-Request-Method
浏览器的的请求会用到的http方法
3、Access-Control-Request-Headers
额外的头信息
预检回应
若不同意,则返回
Access-Control-Allow-Methods: GET, POST, PUT//服务器支持的所有跨域请求的方法
Access-Control-Allow-Headers: X-Custom-Header//服务器支持的所有头信息字段
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000//指定本次预检请求的有效期
正常回应
一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段
Access-Control-Allow-Origin字段是每次回应都必定包含的。
与JSONP的比较
CORS支持所有类型的HTTP请求。JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。
扫一扫
2811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
