同源与跨域、JSONP(函数封装)、CORS

最新推荐文章于 2023-04-04 08:00:19 发布
最新推荐文章于 2023-04-04 08:00:19 发布
阅读量337 收藏 11
点赞数 5
分类专栏: Node.js 文章标签: ajax jsonp cors 同源与跨域 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45654582/article/details/119813918
版权

文章目录

同源政策

Ajax请求限制:

Ajax 只能向自己的服务器发送请求。同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。

  • 比如现在有一个A网站、有一个B网站,A网站中的 HTML 文件只能向A网站服务器中发送 Ajax 请求,B网站中的 HTML 文件只能向 B 网站中发送 Ajax 请求,但是 A 网站是不能向 B 网站发送 Ajax请求的,同理,B 网站也不能向 A 网站发送 Ajax请求。

同源:

如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源。

http://www.example.com/dir/page.html

  • http://www.example.com/dir2/other.html:同源
  • http://example.com/dir/other.html:不同源(域名不同)
  • http://v2.www.example.com/dir/other.html:不同源(域名不同)
  • http://www.example.com:81/dir/other.html:不同源(端口不同)
  • https://www.example.com/dir/page.html:不同源(协议不同)

同源政策的目的:

  • 同源政策是为了保证用户信息的安全,防止恶意的网站窃取数据。最初的同源政策是指 A 网站在客户端设置的 Cookie,B网站是不能访问的
  • 随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中有一项规定就是无法向非同源地址发送Ajax 请求,如果请求,浏览器就会报错

不受同源策略限制:

  • 页面中的链接重定向以及表单提交是不会受到同源策略限制的
  • 跨域资源的引入是可以的。但是js不能读写加载的内容。如嵌入到页面中的<script src="..."></script><img><link><iframe>

跨域问题

跨域:只要协议、域名、端口号有一个不同就是跨域

跨域的原因:

跨域问题 来源于 JavaScript的同源策略,即只有 协议+主机名+端口号(如存在)相同,则允许相互访问。为了防止某域名下的接口被其他域名下的网页非法调用,是浏览器对JavaScript施加的安全限制。也就是说JavaScript只能访问和操作自己域下的资源,不能访问和操作其他域下的资源。跨域问题是针对 JS 和 Ajax 的, html 本身没有跨域问题,比如a标签、script标签、甚至form标签(可以直接跨域发送数据并接收数据) 等

解决跨域问题:

  • JSONP:利用script标签可跨域的特点,在跨域脚本中可以直接回调当前脚本的函数。
  • CORS:服务器设置HTTP响应头中Access-Control-Allow-Origin值,解除跨域限制。
    • 注意:这两个跨域方案都存在一个致命的缺陷,严重依赖后端的协助。
  • 反向代理(Reverse Proxy):前端独立就能解决的跨域方案:

指以 代理服务器 来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。

JSONP

使用 JSONP 解决

jsonp 是 JSON with padding(填充式 JSON 或参数式 JSON)的简写,它 不属于 Ajax 请求,但它可以 模拟 Ajax 请求

JSONP 由两部分组成:回调函数数据

  • 回调函数是当响应到来时应该在页面中调用的函数。回调函数的名字一般是在请求中指定的。
  • 数据就是传入回调函数中的 JSON 数据。

解决方法:

简单理解:在服务器端将json数据作为函数参数,填充到函数当中,在客户端中调用函数从而对数据进行处理
在这里插入图片描述

JSONP实现跨域请求的原理简单的说,就是动态创建<script>标签,然后利用<script>src 不受同源策略约束来跨域获取数据。

JSONP的优缺点:

优点

  • 不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制
  • 兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持
  • 并且在请求完毕后可以通过调用callback的方式回传结果

缺点

  • 只支持GET请求而不支持POST等其它类型的HTTP请求
  • 只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题

JSONP代码优化:

  1. 客户端需要将函数名称传递到服务器端
  2. 将 script 请求的发送变成动态请求
  3. 封装 jsonp 函数,方便请求发送
  4. 服务器端代码优化之res.jsonp 方法

JSONP函数封装:

function jsonp (options) {
    // 动态创建script标签
    var script = document.createElement('script');
    // 拼接字符串的变量
    var params = '';
    for (var attr in options.data) {
        params += '&' + attr + '=' + options.data[attr];
    }
    // myJsonp0124741
    var fnName = 'myJsonp' + Math.random().toString().replace('.', '');
    // 将它变成全局函数
    window[fnName] = options.success;
    // 为script标签添加src属性
    script.src = options.url + '?callback=' + fnName + params;
    // 将script标签追加到页面中
    document.body.appendChild(script);
    // 为script标签添加onload事件
    script.onload = function () {
        document.body.removeChild(script);
    }
}

使用:

// 获取按钮
var btn1 = document.getElementById('btn1');
var btn2 = document.getElementById('btn2');
// 为按钮添加点击事件
btn1.onclick = function () {
    jsonp({
        // 请求地址
        url: 'http://localhost:3001/better',
        data: {
            name: 'lisi',
            age: 30
        },
        success: function (data) {
            console.log(123)
            console.log(data)
        }
    })
}
btn2.onclick = function () {
    jsonp({
        // 请求地址
        url: 'http://localhost:3001/better',
        success: function (data) {
            console.log(456789)
            console.log(data)
        }
    })
}

CORS

使用CORS解决

CORS:全称为 Cross-origin resource sharing,即跨域资源共享,它允许浏览器向跨域服务器发送 Ajax 请求,克服了 Ajax 只能同源使用的限制。

在这里插入图片描述

//设置服务器的响应头信息,实现跨域
res.setHeader("Access-Control-Allow-Origin", "*");  /* 星号表示所有的域都可以接受, */

Express框架中跨域的实现:

  1. 安装跨域模块:语法: npm install cors
  2. 在app.js文件中引入cors模块:var cors = require('cors')
  3. 使用跨域模块(在app.js文件中) :app.use(cors());
YuLong~W
关注
专栏目录
跨域】什么是跨域(同源策略)、JSONPCORS
Milk~每天分享一点点,技术进步一点点
07-22 662
1. 什么是跨域(同源策略) 同源策略 ajax请求时,浏览器要求当前网页和server必须同源(安全) 同源:协议/域名/端口,三者必须一致 前端:http://a.com:8080/; server: https://b.com/api/xxx (默认端口80) 三者都不同源 跨域: 所有的跨域,都必须经过server端允许和配合 未经server端允许就实现跨域,说明浏览器有漏洞,危险信号 Jsonp JSONP 访问https://immoc.com/,服务端一定返回一个html文件吗
jsonp跨域封装
keocce的博客
05-25 242
一.什么是同源政策?无弹窗小说网 https://www.amini.net 同源策略是指在Web浏览器中,允许某个网页脚本访问另一个网页的数据,但前提是这两个网页必须有相同的URI、主机名和端口号,一旦两个网站满足上述条件,这两个网站就被认定为具有相同来源。此策略可防止某个网页上的恶意脚本通过该页面的文档对象模型访问另一网页上的敏感数据。同源策略对Web应用程序具有特殊意义,因为Web应用程序广泛依赖于HTTP cookie来维持用户会话,所以必须将不相关网站严格分隔,以防止丢失数据泄露。值得...
跨域问题处理之jsonp封装
weixin_43837268的博客
06-22 164
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Do.
2.封装Jsonp实现跨域
weixin_45963440的博客
02-09 97
1.实现原理流程 2.源码 <body> <script> function getJSONP(url, callback) { if (!url) { return; } //定义1个数组以便产生随机函数名(回调函数函数名) var a = ['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i',
cors解决跨域问题
L_H_study的博客
02-13 531
cors解决跨域问题
推荐Node.js跨域问题实用解决方法
总结前端开发中遇到的问题,分享前端知识
05-30 835
注意:app.use(cors())引入必须放在路由引入之前,否则不起作用 1、安装中间件cors npm install cors --save 2、引入 var cors = require("cors"); 3、使用 app.use(cors()) 注:在cors()方法中可配置对应白名单等,默认是 { "origin": "*", "methods": "GET,HEAD,PUT,PATCH,POST,DELETE", "preflightContinue.
跨域解决之JSONPCORS的详细介绍
01-19
JSONP跨域CORS跨域 什么是跨域跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:域名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
同源策略+跨域+jsonp+cors
08-29
同源策略和跨域以及解决跨域的两种方式
SpringBoot跨域JsonpCors的方法
10-16
本文将深入探讨如何在SpringBoot框架中解决跨域问题,主要涉及两种方法:JSONPCORS。 ### JSONP(JSON with Padding) JSONP是一种解决跨域问题的早期方案,它利用了`<script>`标签的`src`属性不受同源策略限制的...
06课 跨域jsonpcors.rar
09-13
总结一下,跨域是Web开发中常见的问题,JSONPCORS是两种主要的解决方式。JSONP适用于简单且不需要POST或其他HTTP方法的情况,而CORS则更适合复杂的跨域场景,能够提供更好的安全性和灵活性。在HTML中,开发者可以...
ASP.NET Core 配置跨域CORS
https://github.com/conanl5566
02-27 959
在 Startup类,ConfigureServices方法里,添加如下代码: services.AddCors(options => options.AddPolicy("cors", p => p.AllowAnyOrigin().AllowAnyHeader().AllowAnyMethod())); services.Configure<ApiBehaviorOptions>(options =&gt
深入剖析.NETCORE中CORS(跨站资源共享)
最新发布
farway000的博客
04-04 503
前言由于现代互联网的飞速发展,我们在开发现代 Web 应用程序中,经常需要考虑多种类型的客户端访问服务的情况;而这种情况放在15年前几乎是不可想象的,在那个时代,我们更多的是考虑怎么把网页快速友好的嵌套到服务代码中,经过服务器渲染后输出HTML到客户端,没有 iOS,没有 Android,没有 UWP。更多的考虑是 防止 XSS,在当时的环境下,XSS一度成为各个站长的噩梦,甚至网站开发的基本要求...
后端跨域
southCopy的博客
07-17 157
后端跨域 1.设置请求头跨域 const express = require(‘express’); const port = 4000; const host = ‘localhost’; const app = express(); //得到一个app对象 app.get(’/server’, (req,res,next) => { ...
编写接口-基于cors解决接口跨域问题
qq_43781887的博客
10-11 234
这个网站可以找到在线的jquery.min.js文件,就不用下载之后导入了。
解决跨域的三种方案
m0_70477767的博客
05-03 5050
解决跨域的三种方案 到目前为止,我们编写的 GET 和 POST 接口,存在一个很严重的问题:不支持跨域请求 解决接口跨域问题的方案主要有三种 CORS (主流的解决方案,推荐使用) 反向代理 (推荐使用) JSONP (有缺陷的解决方案:只支持 GET 请求) 3.代码演示 <!DOCTYPE html> <html lang="en"> ​ <head> <meta charset="UTF-8"> .
中间件cors三行代码解决跨域问题GET,POST跨域访问解决
厚积薄发.
07-20 1378
解决接口跨域的方案主要有两种: 1.CORS (主流的解决方案,推荐使用) 2.JSONP (有缺陷,只支持 GET 请求)
Express 4.x 使用CORS跨域的详细解析
热门推荐
sunq1982的博客
09-07 1万+
前两天在stackoverflow里面提问res.jsonp的用法,被回答者嘲讽:现在是2017年了,还用jsonp? 用CORS跨域啊。做为一名傻傻的业余爱好者,不明就里,居然问:是什么技术取代jsonpCORS跨域里面使用? 估计回答的人已经吐血了,说:CORS就是一门技术。 后来自己去翻关于各方面CORS的技术博客,现在稍微懂了一点,在此做个笔记。 jsonp是属于比较老的技术,HTML5
CORS跨域请求
faith_girl的博客
01-26 2754
CORS跨域资源共享 1.使用cors中间件解决跨域问题 cors是express的一个第三方插件,通过安装和配置cors中间件 可以很方便地解决跨域问题 使用步骤分为3步: 1.运行 npm install cors 安装中间件 2.使用const cors=require(‘cors’)导入中间件 3.在路由之前调用app.use(cors())配置中间件 2.什么是CORS cors跨域资源共享)由一系列HTTP响应头组成,这些HTTP响应头决定浏览器是否阻止前端JS代码跨域获取资源 浏览器的同源
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值