JSONP CORS WebSocket

最新推荐文章于 2021-04-27 14:06:00 发布
最新推荐文章于 2021-04-27 14:06:00 发布
阅读量231 收藏
点赞数
文章标签: 网络 json python
原文链接:https://segmentfault.com/a/1190000011957286
版权

何为跨域?

一般情况下,XMLHttpRequest(XHR)对象只能访问与包含它的页面位于同一个域中的资源,这种安全策略可以预防某些恶意行为,即通常所说的同源策略。

只要协议、域名、端口号有任何一个不同,都会被当成不同的域。

下表给出了相对于 http://store.company.com/dir/... 同源检测的结果:

clipboard.png

跨域解决方法

  1. JSONP(JSON with padding)
    JSONP由两部分组成:回调函数和数据。回调函数时当响应到来是应该在页面中调用的函数,名字一般在请求中指定。而数据就是传入回调函数中的JSON数据。
    JSONP通过动态创建<script>标签来使用,script 的 src 属性不受同源策略的约束。
    JSONP原理:
    (1)首先在客户端注册一个callback, 然后把callback的名字传给服务器。
    (2)此时,服务器先生成 json 数据。然后以 javascript 语法的方式,生成一个function , function 名字就是传递上来的参数 。
    (3)最后将 json 数据直接以入参的方式,放置到 function 中,这样就生成了一段 js 语法的文档,返回给客户端。
    (4)客户端浏览器,解析script标签,并执行返回的 javascript 文档,此时数据作为参数,传入到了客户端预先定义好的 callback 函数里.(动态执行回调函数)
    下面例子通过查询地理定位服务来显示IP地址及位置信息。

    function handleResponse(res){
   alert("You are at IP address" + res.ip + ",which is in" + res.city + ',' + res.region_name);
}
var script = document.createElement("script");
script.src = "http://freegeoip.net/json/?callback=handleResponse";
document.body.insertBefore(script,document.body.firstChild);

    JSONP优点:兼容所有的浏览器
    JSONP缺点:
    1). JSONP 是从其他域中加载代码执行。如果其他域不安全,很可能会在响应中夹带一些恶意代码,而此时除了完全放弃 JSONP 调用之外,没有办法追究。
    2). 要确定 JSONP 请求是否失败并不容易。如果动态脚本插入有效,就执行调用;如果无效,就静默失败。失败是没有任何提示的。
    3). 只支持 get 请求。

  2. 跨源资源共享(CORS:Corss-Origin Resource Sharing)
    CORS需要浏览器和服务器同时支持。在整个请求过程中,都是由浏览器自动完成,不需要用户参与。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加头信息,有时还会多出一次附加请求。
    浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。
    简单请求需要同时满足下面两个条件:
    (1)请求方法只能是HEAD/GET/POST三个之一;
    (2)请求头的Content-Type只能是application/x-www-form-urlencoded,multipart/form-data,text/plain三个之一
    凡是不同时满足以上两个条件的,就是非简单请求。
    简单请求
    对于简单请求,浏览器在请求头信息中增加一个Origin字段,用来说明本次请求来自哪个源(协议+域名+端口),服务器根据这个值来决定是否同意这次请求。

    clipboard.png
    如果Origin指定的源在许可范围内,服务器返回响应的头信息会增加如下几个字段:
    Access-Control-Allow-Origin:必须, 表明可以同意哪些跨源请求,设置为*表明同意任意跨源请求
    Access-Control-Allow-Credentials:可选,布尔值,表明服务器是否允许浏览器携带用户凭证相关信息,例如cookie、http认证等信息。CORS请求默认不发送Cookie和HTTP认证信息,如果要发送需要将 withCredentials属性设置为true。 如果服务器不返回该字段,即不允许,此时若浏览器发送了一个withCredentials属性为true的请求,则会被拒绝,在控制台报错。

    clipboard.png

    clipboard.png
    非简单请求:
    非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight),询问当前网页所在的域名是否在服务器的许可名单之中,以及可以使用那些http方法及头信息字段。只有得到肯定的答复,浏览器才会正式发出XMLHTTPRequest请求。
    预检请求使用的http方法是Options,表示这是个用来询问的请求。 http请求头中除了包含简单请求头中的origin字段,还包含几个特殊字段:
    Access-Control-Request-Method:表明请求使用的HTTP方法
    Access-Control-Request-Headers:用于在预先请求时,告知服务器要发起的跨域请求中会携带的请求头信息,是一个以逗号分隔的字符串
    如果服务器确认允许跨源请求,则可以做出回应。
    预检请求的回应除了简单请求的回应中的Access-Control-Allow-Origin字段外,还有几个特殊字段:
    Access-Control-Allow-Methods:表明服务器支持的所有跨域请求的方法,返回所有可以避免多次预检请求
    Access-Control-Allow-Headers:表明跨域资源可以携带的自定义表头列表
    Access-Control-Max-Age:表明浏览器可以将相应结果进行缓存的时间(单位为秒),在缓存时间内可以不用重复发送预检请求

    clipboard.png
    如果服务器否定了预检请求,会返回一个正常的HTTP相应,但是没有任何有关CORS的头信息字段。这时浏览器就会认定服务器不同意预检请求,会触发一个错误,在控制台报错.

    clipboard.png

    clipboard.png

    只要服务器通过了预检请求,以后每次正常的CORS请求,就跟简单请求一样。
    CORS优点:1. 相比于JSONP,不仅支持get请求,也支持post、put等请求。
    CORS缺点: 1. 不是所有的浏览器都支持 2. 需要服务器支持

    CORS浏览器兼容情况:

    clipboard.png

  3. WebSocket
    WebSocket 是 HTML5 开始提供的一种在单个 TCP 连接上进行全双工双向通讯的协议,同源策略对 Web Sockets 不适用,因此可以实现异步跨域请求。
    为了建立一个 WebSocket 连接,客户端浏览器首先要向服务器发起一个 HTTP 请求,这个请求和通常的 HTTP 请求不同,包含了一些附加头信息,其中附加头信息"Upgrade: WebSocket"表明这是一个申请协议升级的 HTTP 请求,服务器端解析这些附加的头信息然后产生应答信息返回给客户端,客户端和服务器端的 WebSocket 连接就建立起来了,双方就可以通过这个连接通道自由的传递信息,并且这个连接会持续存在直到客户端或者服务器端的某一方主动的关闭连接。
    客户端在收到服务器响应后,建立的连接会从 HTTP 协议交换为 Web Socket 协议。标准的 HTTP 无法实现 Web Sockets,只有支持这种协议的专门服务器才能正常工作。 http:// => ws://、https:// => wss://使用自定义协议的好处是在服务器和客户端之间发送的数据量小,不必担心 HTTP 那样字节级的开销,比较适合移动通信及对实时性要求较高的应用。
    // 要创建 Web Socket,需要先实例一个 WebSocket 对象并传入服务器端的地址,必须为一个绝对URL:
    var socket = new WebSocket('ws://echo.websocket.org');
 
    // 当浏览器和服务器连接成功后,会触发 open 事件
    socket.onopen = function(evevt){
        console.log('open');
    }
    // 当服务器向客户端发来消息时,会触发 message 事件
    socket.onmessage = function(event){
    var data = event.data; // 返回的数据是字符串
        console.log(data);
    }
    // 当浏览器收到服务器发送的关闭连接请求时,就会触发 close 事件
    socket.onclose = function(event){
        console.log('close');
    }
    // 如果连接失败,发送、接收数据失败或者处理数据出现错误,会触发 error 事件
    socket.onerror = function(event){
        console.log('error');
    }
    // 使用send方法像服务器发送数据(只能发送纯文本数据,复杂的数据结构需要JSON.stringify一下):
    socket.send("Hello World");
注:WebSocket对象不支持DOM2级事件侦听器,必须使用DOM0级事件语法。

**WebSocket缺点:** 1. 不是所有的服务器都支持  2. 必须有相应的服务器支持。
**WebSocket优点:**1. 支持实时通信,可以避免浏览器的短轮询及服务器的长轮询。 2. 长连接会带来一定的服务器内存开销

WebSocket浏览器兼容情况:

clipboard.png

参考文档

  1. 《javascript 高级程序设计》第21章 跨源资源共享
  2. 阮一峰:跨域资源共享CORS详解
  3. CORS测试网站:http://test-cors.org
weixin_34198797
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端常见跨域解决方案(jsonp,cors,proxy,postMessage,webSocket)
程展威的博客
05-29 2767
前端常见跨域解决方案:jsonp,cors,proxy,postMessage,webSocket详解及用法
HTTP协议细节集锦:Accept-Language 和 CORSWebSocket
cpxsxn的博客
05-07 1693
对于最早期的HTTP/1.0协议,每次发送一个HTTP请求,客户端都需要先创建一个新的TCP连接,然后,收到服务器响应后,关闭这个TCP连接。 由于建立TCP连接就比较耗时,因此,为了提高效率,HTTP/1.1协议允许在一个TCP连接中反复发送-响应,这样就能大大提高效率。(HTTP 1.1允许浏览器和服务器在同一个TCP连接上反复发送、接收多个HTTP请求和响应,这样就大大提高了传输效率。) 因为HTTP协议是一个请求-响应协议,客户端在发送了一个HTTP请求后,必须等待服务器响应后,才能发送下一个请求,
【笔记】跨域问题(corsjsonpwebsocket
LawssssCat的博客
03-08 1362
跨域资源共享”(Cross-origin resource sharing)实现服务端 jsonp 响应。
websocketjsonp:websocketjsonp简单演示
05-05
websocketjsonp websocketjsonp简单演示
WebSocket跨域问题解决
weixin_30488313的博客
07-30 2093
WebSocket protocol是HTML5一种新的协议。它实现了浏览器与服务器全双工通信,同时允许跨域通讯,是server push技术的一种很好的实现。我们使用Socket.io,它很好地封装了webSocket接口,提供了更简单、灵活的接口,也对不支持webSocket的浏览器提供了向下兼容。 项目中遇到javascript跨域问题,父页面和子页面要通信,并且父子页面跨域...
跨域请求资源-jsonpcors区别.pdf
最新发布
04-09
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全...
SpringBoot跨域JsonpCors的方法
10-16
主要介绍了SpringBoot跨域JsonpCors的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
跨域解决之JSONPCORS的详细介绍
01-19
JSONP跨域和CORS跨域 什么是跨域? 跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:域名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
跨域请求的完美解决方法(JSONP, CORS)
10-22
下面小编就为大家带来一篇跨域请求的完美解决方法(JSONP, CORS)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
跨域WebSocket 后台配置 jsonp postMessage
web修理工
06-03 607
let socket = new WebSocket(res.respBody.path);//创建WebSocket连接 socket.onopen = () => { //打开服务 console.log(this.wxsData, "this.wxsData"); socket.send(JSON.stringify(this.wxsData));//发送参数 };...
一个基本的 go httpserver
icebergliu1234的博客
09-23 586
packet main 负责调用main() 只负责启动和关闭server 用到的是: packet app 是真正的服务器应用包 使用了4个packet: "github.com/devfeel/dotweb" "github.com/track/blogserver/pkg/config" "github.com/track/blogserver/pkg/controllers" "github.com/track/blogserver/pkg/rou...
跨域通信的几种方式(jsonp,hash,postMessage,websocket,cors
DLGDark的博客
10-01 1143
<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>通信类</title> </head> <body> <script type="text/javascript"> // 创建ajax【参考网址】https://segmentfault.com/a/1190000006669043
WebSocket页面显示日志的代码
anlixi的博客
06-21 2249
WebSocket页面显示日志的代码在前端html页面显示后台的服务器日志信息页面效果前端页面代码后台代码WebSocketInterceptor拦截器WebSocketHandler握手动作WebSocketConfig配置类TailLogThread实时读取日志的线程ToolsUtil工具类给日志上色的方法 在前端html页面显示后台的服务器日志信息 主要是为了方便,前端也不会ssh去连接服务...
sockjs-node/info?t=1462183700002 报错解决方案
weixin_33841722的博客
03-29 5236
首先 sockjs-node 是一个JavaScript库,提供跨浏览器JavaScript的API,创建了一个低延迟、全双工的浏览器和web服务器之间通信通道。服务端:sockjs-node(https://github.com/sockjs/sockjs-node)客户端:sockjs-clien(https://github.com/sockjs/sockjs-client)如果你的项目没有...
Request Method OPTIONS
远方的少年
10-11 3461
最近在devtools查看接口时发现前端每次都会请求两遍接口,带着好奇的心理,发现每次多的一次请求都是OPTIONS请求。 然后网上查了一番,发现这个其实和CORS有关系。很多时候,浏览器为了确定服务端能够接受本次请求,会事先发起一个试探性的请求,以确定服务器能够接受哪些请求方式,以及是否支持跨域。 ...
同源策略与跨域访问(jsonpcors等)
热门推荐
关注网络安全、云原生安全
03-08 1万+
同源策略 由于浏览器安全限制,数据是不可以直接跨域(包括不同的根域名、二级域名、或不同的端口)请求的,除非目标域名授权你可以访问。 jsonp是使用方法回调的原理. 在网页里,你如果引入其他网页的js,那这个页面的js是可以调用你网页的代码的 ...
关于 websocket 跨域的一个奇怪问题…
Java技术栈,分享最主流的Java技术
04-27 598
点击关注公众号,Java干货及时送达作者:fredalxin地址:https://fredal.xin/websocket-cors-problem最近在建设websocket长连接网关,...
前端跨页面/ 跨域通信的几种方式(JSONP、hash、postMessage、WebSocketCORS、代理)
winne雪
11-26 1064
前端跨域通信的五种方式:JSONP、hash、postMessage、WebSocketcors
https请求http接口被浏览器拦截问题,python实现websocket客户端websocket服务端,跨域问题,dwebsocket
zuoliansheng的博客
03-04 4743
1. 背景:由于公司前端的页面部署在以https(加了证书)协议的域名下,去请求http协议的域名的某个服务,并且该http域名下的服务,不仅要处理普通请求(POST、GET),还需要处理websocket请求。由于浏览器禁止https域名的内容请求http的服务,甚至嵌入子页面都禁止,因为浏览器会认为http的内容是不安全的,所以为解决该问题,研究出如下解决方案。 2. 解决办法:由于浏览器禁...
websocket跨域
09-09
1. CORS(跨域资源共享):如果你有控制 Websocket 服务器端代码的权限,可以在服务器端设置 CORS 头部,允许来自特定域名的 Websocket 连接。在响应握手请求时,设置 `Access-Control-Allow-Origin` 头部为允许的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值