同源策略jsonp和cors

最新推荐文章于 2023-08-16 21:02:20 发布
最新推荐文章于 2023-08-16 21:02:20 发布
阅读量83 收藏
点赞数
原文链接:http://www.cnblogs.com/KIV-Y/p/10604341.html
版权

同源策略:

同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。 如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
项目1 
=================http://127.0.0.1:8001项目的index============
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="http://code.jquery.com/jquery-latest.js"></script>
</head>
<body>

<button>ajax</button>
{% csrf_token %}

<script>
    $("button").click(function(){
        $.ajax({
            url:"http://127.0.0.1:8002/SendAjax/",
            type:"POST",
            data:{"username":"man","csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val()},
            success:function(data){
                alert(123);
                alert(data);
            }
        })
    })
</script>
</body>
</html>

项目2

==================http://127.0.0.1:8002项目的index================
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="http://code.jquery.com/jquery-latest.js"></script>
</head>
<body>

<button>sendAjax</button>
{% csrf_token %}

<script>
    $("button").click(function(){
        $.ajax({
            url:"/SendAjax/",
            type:"POST",
            data:{"username":"man","csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val()},
            success:function(data){
                alert(data)
            }
        })
    })
</script>

</body>
</html>


===================http://127.0.0.1:8002项目的views====================

def index(request):
    return render(request,"index.html")
from django.views.decorators.csrf import csrf_exempt

@csrf_exempt
def SendAjax(request):    # 不校验csrf_token
    import json
    return HttpResponse(json.dumps("hello2"))

  

当点击项目1的按钮时,发送了请求,但是会发现报错如下:

已拦截跨源请求:同源策略禁止读取位于 http://127.0.0.1:8002/SendAjax/ 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')

如何解决同源策略实现跨域请求

使用script标签来完成跨域请求  原理是通过script标签的跨域特性来绕过同源策略。

# =============================http://127.0.0.1:8001/index

<button>ajax</button>
{% csrf_token %}

<script>
    function func(name){
        alert(name)
    }
</script>

<script src="http://127.0.0.1:8002/SendAjax/"></script>


# =============================http://127.0.0.1:8002/
from django.views.decorators.csrf import csrf_exempt

@csrf_exempt


def SendAjax(request):
    import json
    # dic={"k1":"v1"}
    return HttpResponse("func('param')")  # return HttpResponse("func('%s')"%json.dumps(dic))

 

使用jsonp来实现跨域请求

================http://127.0.0.1:8001/index===

<button class="get_index" onclick=f()>洗剪吹</button>
<srcipt>
function ret(arg) {
  console.log(arg)
}
$(".get_index").click(function () {
             $.ajax({
                 url:"http://127.0.0.1:8002/index/",
                 type:"get",
                 dataType:"jsonp",     // 伪造ajax  基于script
                 jsonp: 'callbacks',
                 //jsonpCallback:"ret",
                 success:function (data) {
                     console.log(data)
                 }
             })
         })
</srcipt>


=================127.0.0.1:8002/index====

def index(request):  # jsonp

    func=request.GET.get("callbacks")
    # print("func",func)
    info={"name":"man","age":34,"price":200}
    return HttpResponse(" ('%s')"%(func,json.dumps(info)

 

jsonp: 'callbacks'就是定义一个存放回调函数的键,jsonpCallback是前端定义好的回调函数方法名'ret',server端接受callback键对应值后就可以在其中填充数据打包返回了; 

jsonpCallback参数可以不定义,jquery会自动定义一个随机名发过去,那前端就得用回调函数来处理对应数据了。利用jQuery可以很方便的实现JSONP来进行跨域访问。

jsonp应用

$(".get_index").click(function () {
         $.ajax({
             url:"http://www.jxntv.cn/data/jmd-jxtv2.html",
             type:"get",
             dataType:"jsonp",     // 伪造ajax  基于script
             jsonp: 'callbacks',
             jsonpCallback:"list",
             success:function (data) {
                 //console.log(data.data);
                 var html="";
                 $.each(data.data,function (index,weekday) {
                 console.log(weekday);     // {week: "周一", list: Array(19)}
                 html+='<p>'+weekday.week+'</p>';
                 $.each(weekday.list,function (j,show) {
                        html+= '<p><a href='+show.link+'>'+show.name+'</a></p>'
                     })
                 });
                 $("body").append(html)
             }
         })
        })

 

使用cors来实现跨域请求

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。

因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

============127.0.0.1:8001=====
    $(".get_service").click(function () {
             $.ajax({
             url:"http://127.0.0.1:8008/service/",
             success:function (data) {
                 console.log(data)
             }
         })
        })

==============127.0.0.1:8002======
    def service(request):
        info = {"k1":"v1","k2":"v2"}
        responce = HttpResponce(json.dumps(info))
        responce["Access-Control-Allow-Origin"] = "http://127.0.0.1:8001"
        responce["Access-Control-Allow-Origin"] = "*"      #表示所有访问通过
        return responce

 

 

 

 

 

转载于:https://www.cnblogs.com/KIV-Y/p/10604341.html

weixin_30332241
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨域解决之JSONPCORS的详细介绍
01-19
JSONP跨域和CORS跨域 什么是跨域? 跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:域名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
同源策略JsonpCORS跨域
anmi3721的博客
08-16 131
一、同源策略   同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。   同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名...
前端之同源策略 JsonpCORS
fenglepeng的博客
08-14 147
同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于
同源策略JsonpCORS
hqs2212586的专栏
08-16 170
同源策略JsonpCORS 一、同源策略   同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。   同源策略,它是由Netscape提出的一个著名的安全策略。现在所...
AJAX——同源策略JSONPCORS
h_jQuery的博客
09-20 144
AJAX 同源策略 同源策略(Same-Origin Pollicy)是浏览器的一种安全策略 同源:协议、域名、端口号必须完全相同 ajax默认是遵从同源策略,违背同源策略就是跨域 页面 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> &l
Jsonp&Cors跨域(同源策略、跨域、劫持漏洞)
精品博客,你值得一看~
08-16 525
CORS)跨域资源共享,其思想是使用自定义的HTTP头部字段让浏览 器与服务器进行沟通,它允许浏览器向跨域服务器发出XMLHttpRequest请求,从而克服AJAX只能同源 使用的限制。CORS的基本原理是当浏览器在进行跨域请求时,会在请求中添加头部origin来表明自己的协议、主 机、端口号,当服务器接到请求并且看到这个origin头部时,如果设置过允许此域名进行访问,就得添 加头部Access-Control-Allow-Origin。
同源策略、跨域:CORS--JSONP
小白小白从不日别的博客
05-18 508
主要介绍了两种常见的跨域解决方案
【跨域】什么是跨域(同源策略)、JSONPCORS
Milk~每天分享一点点,技术进步一点点
07-22 599
1. 什么是跨域(同源策略) 同源策略 ajax请求时,浏览器要求当前网页和server必须同源(安全) 同源:协议/域名/端口,三者必须一致 前端:http://a.com:8080/; server: https://b.com/api/xxx (默认端口80) 三者都不同源 跨域: 所有的跨域,都必须经过server端允许和配合 未经server端允许就实现跨域,说明浏览器有漏洞,危险信号 Jsonp JSONP 访问https://immoc.com/,服务端一定返回一个html文件吗
学习AJAX必知必会(5)~同源策略、解决跨域问题(JSONPCORS
伟庭的博客
01-22 650
学习AJAX必知必会(5)~同源策略、解决跨域问题(JSONPCORS
跨域请求资源-jsonpcors区别.pdf
04-09
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全...
同源策略+跨域+jsonp+cors
08-29
同源策略和跨域以及解决跨域的两种方式
js实现跨域的几种方法汇总(图片ping、JSONPCORS
11-22
虽然有同源策略的存在,但是在js中跨域也依然很常见,有document.domain、window.name、图片ping、jsonpCORS,在这里简单总结下图片ping、jsonpCORS备忘。 图片ping 图片可以从任何URL中加载,所以将img的src...
浅析jsopn跨域请求原理及cors(跨域资源共享)的完美解决方法
10-20
由于同源策略的缘故,ajax不能向不同域的网站发出请求。接下来通过本文给大家介绍jsopn跨域请求原理及cors(跨域资源共享)的完美解决方法,需要的朋友可以参考下
node-v4.8.6-win-x64.zip
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基础运维技能(下)md格式笔记
最新发布
05-07
基础运维技能(下)md格式笔记
node-v8.1.2-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
黑马程序员 C语言学习笔记
05-07
持续更新
什么是同源策略和非同源策略
05-24
同源策略和非同源策略是用于限制网页脚本访问其他网站资源的安全策略。...在非同源情况下,网页脚本不能直接访问其他网址的资源,但可以通过跨域通信技术(例如 JSONPCORS 等)来间接获取其他网址的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值