关于jsonp,cors跨域的那些事

最新推荐文章于 2024-06-14 11:20:36 发布
最新推荐文章于 2024-06-14 11:20:36 发布
阅读量86 收藏
点赞数
文章标签: json 后端 javascript ViewUI
原文链接:https://segmentfault.com/a/1190000011911579
版权

一直以为以前对jsonp道理和实现已经掌握了(src不受同源策略的限制,通过新建scrpit来加入dom,并绑定回调函数来实现跨域),但是最近被问到的时候还是有种一知半解,说不全,今天来总结一下jsonp的一些难点(由于jq对jsonp的封装导致了很多不一致的地方)
有很多内容摘参考了https://mp.weixin.qq.com/s/9I...

json

JSONP 是 JSON 的一种使用模式,可以解决主流浏览器的跨域数据访问问题。其原理是根据 XmlHttpRequest 对象受到同源策略的影响,而 <script> 标签元素却不受同源策略影响,可以加载跨域服务器上的脚本,网页可以从其他来源动态产生 JSON 资料。用 JSONP 获取的不是 JSON 数据,而是可以直接运行的 JavaScript 语句。

jsonp源码

jsonp({
    url: 'https://sp0.baidu.com/5a1Fazu8AA54nxGko9WTAnF6hhy/su',
    type: 'get',
    data:{
        wd: 'jsonp'
    },
    callback: 'cb',
    success: function (data) { 
        console.log(data) 
    }
});

function jsonp (options) {
    let url = options.url
    let data = options.data
    
    let oBody = document.getElementsByTagName('body')[0]
    let oScript = document.createElement('script')
    
    let callbackName = 'cb' + (~~(Math.random()*0xffffff)).toString(16)
    window[callbackName] = function (result) {
        options.success(result)        
    }
    data[options.callback] = callbackName
    
    oScript
        .setAttribute('src', url + '?' + format(data))
    oBody.append(oScript)
}
function format(data) {
    let str = ''
    for (var p in data) {
        str += encodeURIComponent(p) + '=' + encodeURIComponent(data[p]) + '&'
    }
    return str
}

我记得以前封装的时候一直不是很理解这个callback名字的道理,不是直接读取options的callback就行了吗,后来才知道这个是为了在默认情况下callbackName为了不重名,对其进行了改写,后端代码直接读取callbackName就行。

后端读取jsonp

app.get("https://sp0.baidu.com/5a1Fazu8AA54nxGko9WTAnF6hhy/su", function(req, res) {
    console.log("server accept: ", req.query.name, req.query.id)
    var data = "{" + "name:'" + req.query.name + " - server 3001 process'," + "id:'" + req.query.id + " - server 3001 process'" +"}"
    var callback = req.query.callback
    var jsonp = callback + '(' + data + ')'
    console.log(jsonp)
    res.send(jsonp)
    res.end()
})

这里对data数据进行了序列化,data 中字符串拼接,不能直接将 JSON 格式的 data 直接传给回调函数,否则会发生编译错误: parsererror Error: jsonpCallback was not called。
注意:jsonp返回的不是json数据,而是一段可以立即执行的js代码,所以不会像 ajax 的 XmlHttpRequest 那样可以监听不同事件对数据进行不同处理。由于jq的jsonp进行了封装,所以才看起来想ajax一样,有错误回调,其实jsonp的短板就是不能发post请求和不能注册success,error等监听函数

cors跨域

现在用得比较多的跨域是cors,以前的flash和iframe跨域都存在的问题,这是一种新规范。所谓同源策略的限制其实是跨域请求并非是浏览器限制了发起跨站请求,而是请求可以正常发起,到达服务器端,但是服务器返回的结果会被浏览器拦截。

原生封装cors

function createCORSRequest(method, url) {
  var xhr = new XMLHttpRequest();
  if ("withCredentials" in xhr) {

    // "withCredentials"属性是XMLHTTPRequest2中独有的
    xhr.open(method, url, true);

  } else if (typeof XDomainRequest != "undefined") {

    // 检测是否XDomainRequest可用
    xhr = new XDomainRequest();
    xhr.open(method, url);

  } else {

    // 看起来CORS根本不被支持
    xhr = null;

  }
  return xhr;
}

var xhr = createCORSRequest('GET', url);
if (!xhr) {
  throw new Error('CORS not supported');
}
// 绝大多数情况下,我们只需要和onload及onerror打交道,就像下面这样:

xhr.onload = function() {
 var responseText = xhr.responseText;
 console.log(responseText);
 // 继续其它代码
};

xhr.onerror = function() {
  console.log('There was an error!');
};

对比下元素ajax

function AJAX(json) {
    var url = json.url,
        method = json.method,
        flag = json.flag,
        data = json.data,
        callBack = json.callBack,
        xhr = null;
    if(window.XMLHttpRequest) {
        xhr = new window.XMLHttpRequest();
    }else {
        xhr = new ActiveXObject('Mircosoft.XMLHTTP');
    }            
    if(method == 'get') {
        url += '?' + data + new Date().getTime(); 
        xhr.open('get', url, flag);
    }else {
        xhr.open('post', url, flag);
    }
    xhr.onreadystatechange = function () {
        if (xhr.readyState === 4 && xhr.status === 200) {
            // 数据已经可用了
            callBack(xhr.responseText);
        }
    }
    if(method == 'get') {
        xhr.send();
    }else {
        xhr.setRequestHeader('Content-Type', 'application/x-www-form-urle');
        xhr.send(data);
    }    
}

服务器应答cors

app.post('/cors', function(req, res) {
    res.header("Access-Control-Allow-Origin", "*");
    res.header("Access-Control-Allow-Headers", "X-Requested-With");
    res.header("Access-Control-Allow-Methods", "PUT,POST,GET,DELETE,OPTIONS");
    res.header("X-Powered-By", ' 3.2.1')
    res.header("Content-Type", "application/json;charset=utf-8");
    var data = {
        name: req.body.name + ' - server 3001 cors process',
        id: req.body.id + ' - server 3001 cors process'
    }
    console.log(data)
    res.send(data)
    res.end()
})

哈,感谢你的观看,喜欢的话可以点赞,收藏~~~
如果有什么写错的地方,欢迎大家指出,一起学习进步~~~~

weixin_34015860
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBootJsonpCors的方法
10-16
主要介绍了SpringBootJsonpCors的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解决之JSONPCORS的详细介绍
01-19
JSONPCORS 什么是:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
jsonp出现Error: XXX  was not called,不执行success
qq_30908729的博客
04-22 1516
jsonp处理出现Error: XXX was not called 解决方法: 我的后台数据返回正常,使用浏览器打开Network中的地址,发现数据返回正常,就不知道什么原因老是不执行success方法,执行error也是报parsererror ,网上好多说法都解决不了我的问题,后来我就使用script标签来发现数据返回正常,所以我就知道问题所在了:http://www.y...
jquery was not called 解决办法
星辰海的专栏
06-27 1万+
1、今天写ajax请求时需要请求,开始的代码如下: 前端代码: var url = "http://localhost:8080/wechat/wxtestsurvey/getTestList.dol"; $.ajax({ url:url, type:'POST', cache:false, data:{"openId":openid}, da...
解决jQuery使用JSONP时产生的错误
JAVA学习者的博客
10-24 2576
什么是,简单来说就是协议+名或地址+端口,3者只要有任何一个不同就表示不在同一个,就是在一个中访问另一个的数据。 如果只是加载另一个的内容,而不需要访问其中的数据的话,是很简单的,比如使用iframe。但如果需要从另一个加载并使用这些数据的话,就会比较麻烦。为了安全性,浏览器对这种情况有着严格的限制,需要在客户端和服务端同时做一些设置才能实现请求。 JSONP简介
使用jsonp有数据返回,但是success不执行的解决办法
热门推荐
小记心得
04-18 2万+
最近项目中,突然遇到这种问题,具体: 页面代码: $.getJSON("http://url.url.com?jsonpCallback=?",function (json) { //1.4.2版本中,正常执行 }); 老版页面中用的jquery1.4.2版本,请求jsonp数据一切正常,现在突然升级到1.9.1版本,出现错误: 返回成功,数据返
JSONPCORS
qq_25775675的博客
06-29 653
JSONP) 是JSON的一种“使用模式”,可用于解决主流浏览器的数据访问的问题。CORS(资源共享) 由一系列 HTTP 响应头组成,这些 HTTP 响应头决定浏览器 是否阻止前端JS代码获取资源浏览器的同源安全策略默认会阻止网页“”获取资源。但如果接口服务器配置了CORS相关的 HTTP 响应头,就可以解除浏览器端的访问限制。
cors_漏洞丨JSONPCORS资源共享
weixin_39761880的博客
11-23 184
进入正文之前,我们先来解决个小问题,什么是:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制!常见的两种方式,分别是JSONPCORS。今天i春秋以JSONPCORS这两个知识点,分享一篇比较基础的漏洞知识点,希望能够抛砖引玉。JSONPJSONP(JSON with padding),是一种利用HTML中<script>&...
Express 通过 CORSJSONP 解决问题
两个月亮
01-28 2218
出现这种现象的原因是因为预检请求共包含两次请求,一次是 options 请求,即预检请求,该请求由浏览器自动发送;一次是正式请求。CORS 的相关响应头部的前缀均为 Acess-Control-Allow 。同源策略的一个主要功能就是有效阻止可能发生的 CSRF(Cross Site Request Forgery,站伪造请求) 。
请求两种方法 jsonpcors的实现
12-02
在网站后台访问另一服务器时,若被访问服务器未设置response[‘Access-Control-Allow-Origin’] = ‘*’ 那么将无法获取。 jsonp方法 伪造ajax提交请求 请求端 // 基于jsonp // 原理: ajax 不能直接 。...
请求资源-jsonpcors区别.pdf
04-09
JavaScript出于安全方面的考虑,不允许调用其他页面的对象。那什么是呢,简单地理解就是因为JavaScript同源策略的限制,a.com名下的js无法操作b.com或是c.a.com名下的对象。 当协议、子名、主名、...
jquery ajax parsererror was not called
蛰脚踝的天蝎
08-07 1万+
问题介绍: $.ajax({    type: "GET",    url: url,    dataType: "jsonp",    success: function (result) {        alert("SUCCESS!!!");    },    error: function (xhr, ajaxOptions, thrownError) {        alert
PHP后台处理jQuery Ajax请求问题 — xx was not called解决办法
weixin_30561177的博客
11-24 190
// 前台代码 $.ajax({ url: 'http://www.ushark.net/home/save_trial_apply', dataType: 'jsonp', processData: false, data: $('.layui-layer-content #trialFormInfo').serialize(), }) .don...
记录碰到的json转换异常
最新发布
weixin_43470118的博客
06-14 142
对接接口时忽略不必要字段
手机在网状态-手机在网状态查询-手机在网站状态接口
lupai的博客
06-14 513
查询手机号在网状态,返回正常使用、停机、未启用/在网但不可用、不在网(销号/未启用/异常)、预销户等多种状态 直连三大运营商,实时更新,可查询实时在网状态 高准确率-实时更新,准确率99.99%接口地址:https://www.wapi.cn/api_detail/120/263.html。s_msg 否 Integer 手机状态中文说明:正常、停机、在网不可用、销号、 查无信息 正常。红色部分代表参数值,appid默认为1,请修改为自己的appid值,去我的应用查看以及密钥。如何设置hash验证。
nodejs
Alex的博客
06-10 303
/打印当前所在目录。node js中引入外部,不能使用SE6中的import,会报。运行:node test.js。node -v 查看版本。nodemon插件使用。
短信接口的对接及应用
lupai的博客
06-11 966
短信验证码api,营销短信群发功能,群发短信可自动过滤无效号码后再发送。短信接口即企业短信平台接口(API版),是面向有一定技术开发能力的企业用户而单独研发的短信(sms)接口。快速性:提供API、HTTP、WEBSERVICE等接口,方便与网站或OA系统、CRM系统集成,实现快速的信息传递。总之,短信接口是企业在现代通信中不可或缺的一部分,通过它,企业可以更加高效、便捷地与用户进行沟通和信息传递。实现短信息的收发:通过短信接口,企业可以实现与不同移动运营商系统的连接,由运营商将短信息发送到用户的手机。
axios jsonp解决
06-28
如果需要更加严格的安全控制,我们需要考虑使用CORS(Cross-Origin Resource Sharing)或者代理来解决问题。 回答3:</h3><br/>Axios 是一款流行的 HTTP 客户端库,它支持浏览器和 node.js 平台。它提供了很多...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值