跨域:
跨域资源共享(CORS) 是一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。
比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。
出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非使用CORS头文件
同源策略:
同源策略,它是由Netscape提出的一个著名的安全策略。
现在所有支持JavaScript 的浏览器都会使用这个策略。
所谓同源是指,域名,协议,端口相同。
当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
即检查是否同源,只有和百度同源的脚本才会被执行。 [1]
如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
跨域方法:
1.通过jsonp跨域
JSONP也叫填充式JSON,是应用JSON的一种新方法,只不过是被包含在函数调用中的JSON,
例如: callback({“name”,“trigkit4”});
JSONP由两部分组成:回调函数和数据:
回调函数是当响应到来时应该在页面中调用的函数,
而数据就是传入回调函数中的JSON数据。
在js中,我们直接用XMLHttpRequest请求不同域上的数据时,是不可以的。
但是,在页面上引入不同域上的js脚本文件却是可以的,jsonp正是利用这个特性来实现的。例如:
jquery会自动生成一个全局函数来替换callback=?中的问号,之后获取到数据后又会自动销毁,
实际上就是起一个临时代理函数的作用。
$.getJSON方法会自动判断是否跨域:
1、不跨域的话,就调用普通的ajax方法;
2、跨域的话,则会以异步加载js文件的形式来调用jsonp的回调函数。
3、并且在请求完毕后可以通过调用callback的方式回传结果。
JSONP的优点是:
1、它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;
2、它的兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持;
JSONP的缺点则是:
1、它只支持GET请求而不支持POST等其它类型的HTTP请求;
2、它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。
6431
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
