同源策略
URL由协议。域名。端口和路径组成。如果两个URL的协议、域名、端口相同,表示他们同源。只要三者有任意一个不同,就被看做跨域。浏览器采用同源策略,禁止页面加载或执行与自身来源不同的域的任何脚本。
如果使用异步请求去加载数据则会受到同源策略的限制
AJAX和普通HTTP请求的区别
本质上:AJAX就会浏览器发出的HTTP请求
区别:
- AJAX就是浏览器使用XMLHTTPRequest对象发出的HTTP请求
- AJAX请求收到浏览器的同源策略限制,存在跨域问题(使用jsonp数据可以实现跨域)
- AJAX在发送复杂请求时,(除了get post)如put,delete,trace请求,浏览器会预先发出options请求预检(HTTP自己不会预检)
- AJAX请求头会多一个x-requested-with参数,值为XMLHttpRequest
Ajax请求不能在控制器中进行跳转(转发、重定向)
跨域访问
但是有部分请求不受到同源策略的影响
比如:
<sctript> <img> <iframe> <link>
这些包含src属性的标签可以加载跨域资源
$("head").append("<script src='http://..&callback'></script>")
//定义回调函数
function showData(){
//将对象转换成json格式的字符串
var json = JSON.stringify(data);
//字符串转换成json对象
var objs = JSON.parse(json);
//处理json数据
}
而jsonp实现的跨域访问只支持get请求
src:就是get请求
jsonp就是利用src实现的跨域访问
防盗链
在页面中请求不属于自己的资源,这样做对于盗链生物人来说,增加了自己的流量,耗费了别人的带宽
@WebFilter(urlPatterns={"/img/*"})
public class ChainFilter implements Filter{
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req=(HttpServletRequest)request;//向下转型
HttpServletResponse resp=(HttpServletResponse)response;
String str = req.getHeader("referer");
if (str.contains("MvcProject")) {
chain.doFilter(req, resp);
}else {
resp.getWriter().print("朋友不要盗链");
}
}
}