JSONP跨域和CORS跨域

最新推荐文章于 2023-08-29 20:18:45 发布
最新推荐文章于 2023-08-29 20:18:45 发布
阅读量178 收藏
点赞数 1
分类专栏: 前端学习 跨域 文章标签: 前端 跨域

什么是跨域?

跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制!

同源策略

同源策略:域名、协议、端口均相同。

浏览器执行JavaScript脚本时,会检查这个脚本属于那个页面,如果不是同源页面,就不会被执行。

JSONP跨域

只支持GET请求,不支持POST等其它请求,也不支持复杂请求,只支持简单请求。

CORS跨域

支持所有的请求,包含GET、POST、OPTOIN、PUT、DELETE等。既支持复杂请求,也支持简单请求。

JSONP和CORS跨域理解

使用目的: JSONP与CORS的使用目的相同,并且都需要服务端和客户端同时支持,但CORS的功能更加强大。
JSONP(json with padding 填充式json):利用了使用src引用静态资源时不受跨域限制的机制。主要在客户端搞一个回调做一些参数接收与操作的处理,并把这个回调函数告知服务器,而服务器端需要做的是按照JavaScript的语法把数据放到约定好的回调函数之中即可,jQuery很早之前就已经把JSONP语法糖化了,使用起来会更加方便。
CORS(Cross-origin resource sharing 跨域资源共享):依附于AJAX,通过添加HTTP Header部分字段请求与获取有权限访问的资源。CORS对开发者是透明的,因为浏览器会自动根据请求的情况(简单和复杂)做出不同的处理。CORS的关键是服务器端的配置支持,由于CORS是W3C中一项较“新”的方案,以至于各大网页解析引擎还没有对齐进行严格规格的实现,所以不同引擎下可能会有一些不一致。

JSONP和CORS的优缺点

  1. JSONP的主要优势在于对浏览器的支持较好;虽然目前主流浏览器都支持CORS,但IE9及以下不支持CORS。

  2. JSONP只能用于获取资源(即只读,类似于GET请求);CORS支持所有类型的HTTP请求,功能完善。(这点JSONP被玩虐,但大部分情况下GET已经能满足需求了)
    JSONP的错误处理机制并不完善,我们没办法进行错误处理;而CORS可以通过onerror事件监听错误,并且浏览器控制台会看到报错信息,利于排查。

  3. JSONP只会发一次请求;而对于复杂请求,CORS会发两次请求。

  4. 始终觉得安全性这个东西是相对的,没有绝对的安全,也做不到绝对的安全。毕竟JSONP并不是跨域规范,它存在很明显的安全问题:callback参数注入和资源访问授权设置。CORS好歹也算是个跨域规范,在资源访问授权方面进行了限制(Access-Control-Allow-Origin),而且标准浏览器都做了安全限制,比如拒绝手动设置origin字段,相对来说是安全了一点。但是回过头来看一下,就算是不安全的JSONP,我们依然可以在服务端端进行一些权限的限制,服务端和客户端也都依然可以做一些注入的安全处理,哪怕被攻克,它也只能读一些东西。就算是比较安全的CORS,同样可以在服务端设置出现漏洞或者不在浏览器的跨域限制环境下进行攻击,而且它不仅可以读,还可以写。

应用场景

如果需要兼容IE低版本浏览器,无疑,JSONP。
如果需要对服务端资源进行操作,无疑,CORS。
其他情况的话,根据自己的对需求的分析来决定和使用。

JSONP和CORS两种常见跨域方式的简单实现

方式一. JSONP实现过程

先看代码:客户端关键代码如下,需要注意的是负责跨域的那个script标签放在callback函数的下面。

<script type="text/javascript">
    function callbackFunction(data) {
        console.log(data)
    }
</script>
<!--放在下面哦  记住-->
<script src="https://39.108.135.222/jsonp/jsonp.phpcallback=callbackFunction"></script>

服务器代码如下

<!--php
header('Content-type: application/javascript');
$jsonCallback = htmlspecialchars($_REQUEST ['callback']);    //获取请求者自定义的回调函数名
$jsonData ='[{"name":"tomato","age":20},{"name":"eggplant","age":25}]';    //待返回的json数据
echo $jsonCallback . "(" . $jsonData . ")";    //输出jsonp格式的数据,即一行函数调用语句
-->

不难看出,JSONP其实利用的就是

这种跨域方式的优点:是原理简单,兼容性好,不需要对服务器端进行操作。

缺点:但是只能get 不能post 。

方式二. CORS实现过程

实例代码 客户端部分 (这是简单的ajax发送POST请求)

<script>
    document.querySelector('button').addEventListener('click',function() {
        var xhr = new XMLHttpRequest();//xhr.withCredentials = true;
        xhr.onreadystatechange = function () {
            if (xhr.readyState == 4) {
                if ((xhr.status >= 200 && xhr.status < 300) || xhr.status == 304) {
                    console.log(JSON.parse(xhr.responseText))
                } else {
                    alert("Request was unsuccessful: " + xhr.status);
                }
            }
        };
        xhr.open("post", "https://39.108.135.222/jsonp/cors.php", true);
        xhr.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
        //xhr.setRequestHeader("Content-type", "multipart/form-data");
        xhr.send('name=tomato&age=18');
    })
        
</script>服务器端代码<p></p>
<p>
</p><pre class="brush:java;"><!--php
    header( "Access-Control-Allow-Origin:*" );
    $name = $_POST['name'];
    $age = $_POST['age'];
    echo json_encode($name.' is '.$age);
--></pre>
CORS跨域的方式最重要的是响应头的Access-Control-Allow-Origin,设置为*代表允许所有的域名请求。<br>
还有Access-Control-Allow-Credentials :(true or false) 默认是false 意思是服务器同意接受cookie(客户机也得设置为<p></p>
<p>xhr.withCredentials = true;而且Access-Control-Allow-Origin不能设置为*</p>

本文并非原创,原文地址如下
原文1: https://www.cnblogs.com/yjxFive/p/JSONPCORS.html
原文2: https://www.2cto.com/kf/201803/732667.html

猜不到我是谁
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
快速解决跨域请求问题:jsonpCORS
10-18
主要介绍了快速解决跨域请求问题:jsonpCORS,涉及jsonpCORS的介绍,分享了前端 jQuery 写法,后端 SpringMVC 配置,后端非 SpringMVC 配置等相关内容,具有一定借鉴价值,需要的朋友可以参考下。
whistle使用总结
我们一起学前端
07-31 2461
高效学习入口:传送门 [基础篇] 一、安装 npm install -g whistle 三、手机或电脑配置代理 w2 start w2 restart w2 stop 192:~ lujing$ w2 start [i] whistle@2.7.3 started [i] 1. use your device to visit the following URL list, gets the IP of the URL you can access: http://127.0.0.1:8899/
记一次前端解决跨域问题的实践
whuhewei的博客
09-02 909
12
解决本地请求跨域问题,替换代理,Whistle + chrome扩展工具SwitchyOmega
qq_39706777的博客
08-03 5248
一、Whistle 1.安装Whistle Whistle官方文档 npm install -g whistle 2.启动服务 w2 start 3.访问配置页面 方式1:域名访问 http://local.whistlejs.com/ 方式2:通过ip+端口来访问,形式如 http://whistleServerIP:whistlePort/ e.g. http://127.0.0.1:8899 Whistle 域名替换规则 以下访问github,将出现baidu首页 https://
Jsonp&Cors跨域(同源策略、跨域、劫持漏洞)
精品博客,你值得一看~
08-16 722
CORS跨域资源共享,其思想是使用自定义的HTTP头部字段让浏览 器与服务器进行沟通,它允许浏览器向跨域服务器发出XMLHttpRequest请求,从而克服AJAX只能同源 使用的限制。CORS的基本原理是当浏览器在进行跨域请求时,会在请求中添加头部origin来表明自己的协议、主 机、端口号,当服务器接到请求并且看到这个origin头部时,如果设置过允许此域名进行访问,就得添 加头部Access-Control-Allow-Origin。
JSONPCORS跨域
qq_25775675的博客
06-29 743
JSONP) 是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。CORS(跨域资源共享) 由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器 是否阻止前端JS代码跨域获取资源浏览器的同源安全策略默认会阻止网页“跨域”获取资源。但如果接口服务器配置了CORS相关的 HTTP 响应头,就可以解除浏览器端的跨域访问限制。
同源策略和跨域解决方案——JSONPCORS、代理跨域(vue-cli脚手架搭建代理服务器)
最新发布
m0_55734628的博客
08-29 2522
在简单请求中,只要满足简单请求的要求,一般情况下,是不怎么需要服务端去进行配置的,除了Access-Control-Allow-Origin这个字段是必备的OPTIONS请求作为预检请求,就算请求方法没有在Access-Control-Allow-Methods规定范围内也不会出现错误,但是我们不能自己发送OPTIONS请求CORS跨域设置涉及到后端和前端的配合。后端通过设置响应头来允许特定的跨域请求,而前端则需要确保请求头中包含适当的信息。这样可以保障安全地进行跨域资源访问参考文档:MDN。
前端你应该知道的web调试工具——whistle
EmotionComputer
10-15 2669
whistle,拼音[wēisǒu])基于 Node 实现的跨平台 web 调试代理工具,类似的工具有 Windows 平台上的 Fiddler,主要用于查看、修改 HTTP、HTTPS、Websocket 的请求、响应,也可以作为 HTTP 代理服务器使用,不同于 Fiddler 通过断点修改请求响应的方式,whistle 采用的是类似配置系统 hosts 的方式,一切操作都可以通过配置实现,支持域名、路径、正则表达式、通配符、通配路径等多种匹配方式,且可以通过 Node 模块扩展功能。 一. 安装和使用
CORSJSONP的区别,如何解决跨域问题?
SunFlower914的博客
10-10 2650
什么是跨域? 如何实现跨域请求?
CORS 跨域资源共享 与 JSONP
凉茶铺的博客
01-07 881
介绍了CORS 跨域资源共享 与 JSONP的使用方式
whistle 一个神奇的前端调试工具(抓包\代理工具)
wang_9909的博客
02-10 2450
神奇的whistle,免费的调试工具。
解决前端跨域问题方案汇总
11-28
1.同源策略如下: URL 说明 是否允许通信 http://www.a.com/a.js http://www.a.com/b.js 同一域名下 允许 http://www.a.com/lab/a.js http://www.a.com/script/b.js 同一域名下不同文件夹 允许 http://www.a.com:8000/a.js http://www.a.com/b.js 同一域名,不同端口 不允许 http://www.a.com/a.js https://www.a.com/b.js 同一域名,不同协议 不
跨域错误原因及解决办法CORS&JSONP
weixin_65100963的博客
04-29 9636
跨域前端代码单独运行,就会报错了。 跨域-错误原因及解决思路 发起ajax请求的那个页面的地址 和 ajax接口地址 不在同一个域中 跨域错误:不同源的ajax请求====> 报跨域的错误 浏览器向web服务器发起http请求时 ,如果同时满足以下三个条件时,就会出现跨域问题,从而导致ajax请求失败: (1)请求响应双方url不同源。 双方url:发出请求所在的页面 与 所请求的资源的url 同源是指:协议相同,域名相同,端口相同 都相同。 以下就是不同源的: 从http://127.
whistle跨域浏览器vsole代理
weixin_44523852的博客
06-16 811
whistle跨域浏览器vsole代理 纪念我的第一篇博客: hello大家好,今天跟大家安利一个好用的代理模式,作为前端开发工程师,我们在开发时很容易遇到跨域的问题,我们首先会想到jsonp跨域或者CORS或者Nginx 反向代理,但是我为大家介绍的是proxy代理模式。 whistle官方链接:http://wproxy.org/whistle/ whistle基于Node实现的跨平台web调试代理工具,类似的工具有Windows平台上的Fiddler,主要用于查看、修改HTTP、HTTPS、Web
抓包与代理神器 —— whistle
09-18 2881
安装 npm i whistle -g 基本操作与配套设置 w2 start 启动 w2 restart 重启 w2 stop 停止服务 w2 status whistle当前状态 http://127.0.0.1:8899/ , whistle会启动一个服务,默认8899端口 chrome插件switchyOmega 配置代理,域名127.0.0.1,端口8899,此时chrome打开的浏览器都会被whistle代理请求 手机跟电脑在同一网段,打开wifi手动配置代理:ip是电脑ip,
CORSJSONP跨域漏洞
weixin_45605352的博客
07-31 1024
0x00 同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器的同源策略规定: 不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。那么何为同源呢,即两个站点需要满足同协议,同域名,同端口这三个条件。 SOP是一个很好的策略,但是随着Web应用的发展,网站由于自身业务的需求,需要
同源策略和JsonpCORS跨域
anmi3721的博客
08-16 138
一、同源策略   同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。   同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名...
【骚操作】本地html解决跨域问题
Ercyao的博客
04-29 1971
>因为就一个页面,所以使用原生html页面,没有用框架,但用惯了vue,当原生html出现跨域问题时候一脸懵逼,这时候想起大学学的东西可以搭建IIS服务器呀(看来大学学的还是有点用),于是便把本地文件放在本地服务器上,然后使用[whistle](https://www.jianshu.com/p/f700277faf7c)进行代理,最后访问http://47.112.124.234:7003...
Ajax跨域解决方案:JSONPCORS与代理请求
本文主要探讨了Ajax跨域问题及其解决方案,包括JSONPCORS和代理请求三种方式,并介绍了如何分析和识别Ajax跨域问题。 ### 什么是Ajax跨域 Ajax跨域是由于浏览器的“同源策略”限制,使得JavaScript在发送Ajax请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值