跨域(JSONP、CORS、代理与反向代理)

最新推荐文章于 2022-05-13 17:46:37 发布
最新推荐文章于 2022-05-13 17:46:37 发布
阅读量331 收藏 1
点赞数 1
分类专栏: JavaScript 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44997147/article/details/104317028
版权

同源策略

是对XHR的一个主要约束,他为通信设置了“相同的域、相同的接口、相同的协议”这一限制。

JSONP

JSONP(JSON with padding)由两部分组成:回调函数和数据。回调函数是当响应到来时应该在页面调用的函数,数据是传入回调函数中的JSON数据。

//回调函数是handleResponse()
http://freegeoip.net/json/?callback=handleResponse

JSONP是通过动态<script>使用的,使用时可以通过src属性指定一个跨域的URL

<script type="text/javascript">
	function handleResponse(res) {
		console.log(res);
	};
	var script = document.createElement("script");
	script.src = "http://freegeoip.net/json/?callback=handleResponse";
	document.body.insertBefore(script, document.body.firstChild);
</script>
JSONP的不足

1、当JSONP从其他域加载代码时,如果其他域不安全,可能会响应其中一些带有恶意的代码。
2、确定JSONP请求是否失败并不容易。

参考链接:
正确面对跨域,别慌

CORS

CORS(Cross-Origin Resource Sharing)跨域资源共享,使用自定义的HTTP头部让浏览器与服务器进行沟通,从而确定请求或响应时成功还是失败。
CORS请求分为简单请求非简单请求,非简单请求会先进行一次OPTION方法进行预检,看是否允许当前跨域请求。

简单请求

只要同时满足以下两大条件,就属于简单请求。凡是不同时满足上面两个条件,就属于非简单请求。

请求方法是以下三种方法之一:

  • HEAD
  • GET
  • POST

HTTP的请求头信息不超出以下几种字段:

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID
  • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

后端的响应头信息:

  • Access-Control-Allow-Origin:该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
  • Access-Control-Allow-Credentials:该字段可选。它的值是一个布尔值,表示是否允许发送Cookie。
  • Access-Control-Expose-Headers:该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers里面指定。
非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

  • Access-Control-Request-Method:该字段是必须的,用来列出浏览器的CORS请求会用到哪些HTTP方法,上例是PUT。
  • Access-Control-Request-Headers:该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段,上例是X-Custom-Header。
    如果浏览器否定了"预检"请求,会返回一个正常的HTTP回应,但是没有任何CORS相关的头信息字段。这时,浏览器就会认定,服务器不同意预检请求,因此触发一个错误,被XMLHttpRequest对象的onerror回调函数捕获。

参考链接:
跨域资源共享 CORS 详解——阮一峰的网络日志
跨域——CORS 详解

代理与反向代理

代理

代理,也称正向代理,意思是一个位于客户端和目标服务器(target server)之间的服务器,为了从目标服务器取得内容,客户端向代理发送一个请求并指定目标(目标服务器),然后代理向目标服务器转交请求并将获得的内容返回给客户端。

数据流程:

  • 数据请求过程:浏览器-》代理服务器-》目标服务器
  • 数据返回过程:目标服务器-》代理服务器-》浏览器
反向代理

反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。

数据流程:

  • 数据请求过程:浏览器-》【反向代理服务器-》处理数据的服务器】
  • 数据返回过程:【处理数据的服务器-》反向代理服务器】-》浏览器

参考链接:
纯前端解决跨域问题
【前端词典】如何向老板解释反向代理

Feather_74
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot跨域JsonpCors的方法
10-16
主要介绍了SpringBoot跨域JsonpCors的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解决跨域(反向代理,jsonp)
swoly2894265391的博客
05-27 782
为什么会出现跨域问题? 浏览器的同源策略 那什么是同源呢? 两个页面具有相同的协议(protocol),主机(host)和端口号(port) 举个例子: http://www.baidu.com:6666// ===> 协议 :// 域名:端口号 // 那什么是跨域呢? 当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域 那么如何解决跨域问题呢? 个人推荐一个挺实用的......
前端常用的3中跨域JSONP代理CORS
m0_60622481的博客
05-13 715
目录 什么是跨越? 常见的跨域请求 跨域解决方法1-代理 代理代码 跨域解决方法2-JSONP JSON在vue中代码 跨域解决方法3-CORS 概述 CORS的三种请求 简单请求 简单请求的判定 需要预检的请求 附带身份凭证的请求 一个额外的补充 什么是跨越? 浏览器有一个重要的安全策略,称之为「同源策略」 其中,源=协议+域名+端口源=协议+主机+端口,两个源相同,称之为同源,两个源不同,称之为跨源或跨域 比如: 源 1 源 2 是否同源 www
jsonpcors 以及反向代理 解决跨域问题及其原理
banhui0728的博客
12-28 287
浏览器端的同源策略: 如果两个页面的协议,端口和域名中的其中任意一个不相同, 它们就是不同源的, 浏览器会限制他们之间的资源交互; 跨域: 跨域的安全限制只针对浏览器, 服务器是没有跨域的安全限制的; 解决跨域问题的原理有三个: 1: jsonp的原理是script 标签的 src 属性没有同源限制 , 核心是后台返回一个函数的调用, 同时传入后台的数据 ...
跨域JSONP代理区别
爱睡的虫虫
03-05 667
跨域问题是由于浏览器为了防止CSRF攻击,避免恶意攻击而带来的风险而采取的同源策略限制。当一个页面中使用XMLHTTPRequest对象发送HTTP请求时(XHR请求),必须保证当前页面和请求的对象是同源的,即协议、域名和端口号要完全一致,否则浏览器就会阻止此跨域请求返回的数据。 http://www.a.com 与 https://www.a.com 是不同源的,它们协议不同 http://w...
跨域解决之JSONPCORS的详细介绍
01-19
JSONP跨域CORS跨域 什么是跨域跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制!...使用目的: JSONPCORS的使用目的相同,并且都需要服务端和
利用jsonp代理服务器方案解决跨域问题
01-21
本文将从实践角度介绍如何使用jsonp代理服务器方案解决跨域问题,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。 浏览器为了保护用户安全,引入了同源策略,即一个服务器页面无法访问另一个...
03_跨域JSONP
06-21
03_跨域JSONP
JSONP CORS代理解决跨域
liuqiao0327的专栏
03-30 471
JSONP CORS代理解决跨域 一.背景 ​ 在我们日常的工作开发中,经常遇到跨域问题,特别是前后端分离的开发模式下,跨域问题也是非常常见的. 二.为什么会出现跨域? 在JavaScript中,有一个很重要的安全性限制,被称为“Same-Origin Policy”(同源策略)。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制,即JavaScript只能访问与包含它的...
ajax完美解决跨域问题(jsonp、nginx反向代理
热门推荐
爱代码也爱生活
07-07 2万+
做过web前端人都知道,经常会有ajax跨域问题,下面列举我经常使用的解决办法 第一种:使用jsonp,jquery的ajax方法支持jsonp,但是最大的缺点就是只支持get方式,而且服务端也要修改 客户端 test.html代码 工作端 $(document).ready(function() { var cache = {};
jsonp代理的使用方式
webblock的博客
03-19 238
导入jsonp: 使用jsonp: 本地的json数据获取 1 把数据json拷贝到public目录 2 发起ajax请求 this.$http.get(’/js/data.json’) .then(res=>{}) .catch(err=>{}) webpack代理方式 新建一个vue.config.js ...
Nginx反向代理CORSJSONP跨域请求解决方法总结
weixin_30636089的博客
01-27 362
由于 Javascript 同源策略的存在使得一个源中加载来自其它源中资源的行为受到了限制。即会出现跨域请求禁止。 通俗一点说就是如果存在协议、域名、端口或者子域名不同服务端,或一者为IP地址,一者为域名地址(在跨域问题上,域仅仅是通过“ url的首部 ”来识别而不会去尝试判断相同的IP地址对应着两个域或者两个域是否同属同一个IP),之中任意服务端旗下的客户端发起请求其它服务端资源的访问行动都是...
Web跨域问题和常用解决方式corsjsonp以及反向代理
质量不太好的博客
03-21 4413
Web跨域问题和常用解决方式corsjsonp以及反向代理
前端解决跨域的三种方式
Coder_FHH的博客
10-13 1万+
看到两种反向代理解决跨域的原理,觉得都很有道理,记录一下。 (前提是服务器端不支持跨域访问,不然也不需要前端做跨域处理了) 一. 虚拟服务器 这点vue自带的反向代理就是采用这个原理。当进行跨域访问时,vue会生成一个虚拟服务器,请求将发送到虚拟服务器,虚拟服务器代替你去访问目标服务器,由于服务器端不存在跨域访问的问题,所以虚拟服务器将请求到的数据再返回给你。 二.中间层 跨域策略是浏览器的安全策略,服务器端并不存在跨域访问这一说。当进行跨域访问时,浏览器如果直接发送给目标服务器,这时浏览器的请求源和目标服
浅谈跨域的几种解决方案JSONPCORS,服务器代理
L_TZzzz的博客
02-25 458
一、在说到解决跨域之前,我们先了解一下什么是跨域?为什么会产生跨域跨域发生在前端还是后端? 1.什么是跨域?为什么会产生跨域? 在浏览器中,为了保护用户的数据的私密性,所以出现了一种限制规则,叫做“同源策略”,这个策略的诞生就是浏览器对协议不同,域名不同,端口号不同的两个服务器各自的数据进行的一种保护,如果没有这个同源策略,让我们来想象一下,假如我们在访问淘宝的服务器,即在淘宝浏览商品,而我们...
IT 跨域:足迹第 四十一步:什么是代理(如何使用正向代理反向代理
原玉辉的博客
08-25 615
1.什么是跨域 跨域是对JavaScript跨域名访问,实施的一种安全限制。是指JS只能访问同一个域名、端口下的资源; 2.跨域问题一般有两种解决思路: 1.正向代理:改客户端IP时,允许访问某些域名; 用途:为在防火墙内的局域网客户端JS提供访问Internet的途径。 2.反向代理:改服务端IP时,允许某些域名跨域访问; 用途:为后端的多台服务器提供负载平衡...
JSONP跨域访问在线代理API
u013604031的博客
11-19 1782
JSONP跨域访问在线代理API ajax请求不同域名的页面时,由于浏览器安全限制是不允许请求的,发生错误。此时需要搭建服务器做代理捉取跨域页面,ajax请求自己建立的代理页面。如果你不想建立自己的代理服务,因为有时我根本就没打算涉及服务端任何代码,但是讨厌的浏览器的同源策略,阻止了我们的ajax调用。 比如我想访问一个天气的restfull api,如果我直接去GET: -收缩
跨域-Vue-Cli配置代理转发
Wy_so_serious的博客
10-18 477
目标: 通过配置vue-cli请求代理解决开发环境下的跨域问题 vue-cli中集成的跨域解决方案 思路: 在前端服务和后端接口服务之间 架设一个中间代理服务,它的地址保持和前端服务一致,那么: 代理服务和前端服务之间由于协议域名端口三者统一不存在跨域问题,可以直接发送请求 代理服务和后端服务之间由于并不经过浏览器没有同源策略的限制,可以直接发送请求 这样,我们就可以通过中间这台服务器做接口转发,在开发环境下解决跨域问题,看起来好像挺复杂,其实vue-cli已经为我们..
cors 前后端分离跨域问题_解决前后端分离的 CORS 跨域资源共享问题
最新发布
06-02
2. 使用反向代理服务器(如 Nginx)进行跨域请求转发,代理服务器可以在请求头中添加 Access-Control-Allow-Origin 头部,从而允许跨域请求。 3. 在前端代码中使用 JSONP 跨域请求,但这种方式只适用于 GET 请求。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值