跨域技术

一、jsonp

优点

（1）不受同源策略的影响。

（2）兼容性好。

（3）可以通过调用回调函数的方法返回结果。

2、原理

jsonp它是利用script标签的src属性没有跨域限制，利用这个特性服务端不在返回json格式的数据，而是调用相应的回调函数，返回一段js代码。

3、实例

思路：动态的创建script标签，把js函数设置成callback的参数连接在url后面，把url赋值给src属性，调用相应的回调函数。

4、实现一个jsonp封装函数

function  loadJsonp(url,jsonpCallback,success){
    let script = document.createElement('script');
    script.src = url;
    script.async = true;
    script.type = 'text/javascript';
    window[jsonpCallback] = function(data){
        success && success(data);
    };
    document.body.appendChild(script);
}
loadJsonp('http://xxx','callback',function(data){
    console.log(data);
});复制代码

5、缺点：

（1）只支持get请求，不支持post请求。

（2）只支持跨域的http请求，不能解决跨域的两个界面怎么进行javascript调用问题。

二、cors

cors是现代浏览器支持跨域请求的一种方式。

1、分类

浏览器将cors请求分为两类：简单请求和非简单请求。

A：简单请求：需要同时满足以下两个条件。

（1）、请求方法为：HEAD、GET、POST

（2）、http的头信息不超出以下几种字段：

Accept：

Accept-language

Content-Language

Last-Event-ID

Content-Type: 只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

B：非简单请求：

非简单请求是那种对服务器有特殊要求的请求，比如请求方法是PUT或DELETE，或者Content-Type字段的类型是application/json。

2、步骤：

（1）预检请求

上述代码，http的请求方式为PUT，并且自定义了头信息X-Custom-Header，浏览器发现，这是一个非简单请求，就自动触发一个预检请求，要求服务器确认可以这样请求。下面是预检请求的头信息：

预检请求使用的请求方法是options

头信息里面关键字段是Origin，它指明请求来自于哪个源。

头信息里面还包括两个必须的字段：

Access-Control-Request-Method：该字段用来列出cors请求会用到哪些http请求方法。

Access-Control-Request-Header：该字段是一个用“，”分隔的字符串，用来指明cors请求额外发送的头信息字段。

2、预检请求回应

服务器收到预检请求后，检查了Origin、Access-Control-Request-Method和Access-Control-Request-Header字段后，确认允许跨域请求，就可以做出回应。

上面的HTTP回应中，关键的是Access-Control-Allow-Origin字段，表示http://api.bob.com可以请求数据。该字段也可以设为星号，表示同意任意跨源请求。

如果浏览器否定了"预检"请求，会返回一个正常的HTTP回应，但是没有任何CORS相关的头信息字段。这时，浏览器就会认定，服务器不同意预检请求，因此触发一个错误，被XMLHttpRequest对象的onerror回调函数捕获。控制台会打印出如下的报错信息。

3、浏览器的正常请求和回应

预检之后浏览器的正常请求

服务器的正常回应

三、jsonp和cors的区别

CORS与JSONP的使用目的相同，但是比JSONP更强大。

JSONP只支持GET请求，CORS支持所有类型的HTTP请求。

JSONP的优势在于支持老式浏览器，以及可以向不支持CORS的网站请求数据。