ajax学习笔记-同源政策

最新推荐文章于 2024-07-18 17:39:42 发布
最新推荐文章于 2024-07-18 17:39:42 发布
阅读量78 收藏
点赞数
文章标签: ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48391379/article/details/117629779
版权

同源政策

如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源。

示例如下:
http://www.example.com/dir/page.html
http://www.example.com/dir2/other.html:同源
http://example.com/dir/other.html:不同源(域名不同)
http://www.example.com:81/dir/other.html:不同源(端口不同)
https://www.example.com/dir/page.html:不同源(协议不同)

同源政策是为了保证用户信息的安全,防止恶意的网站窃取数据。最初的同源政策是指 A 网站在客户端设置的 Cookie,B网站是不能访问的。

随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中有一项规定就是无法向非同源地址发送Ajax 请求,如果请求,浏览器就会报错(拒绝接收服务器端的返回结果)。

解决方案

一.JSONP解决同源限制问题

jsonp 是 json with padding 的缩写,它不属于 Ajax 请求,但它可以模拟 Ajax 请求。
实际上是绕过浏览器同源政策的限制,向非同源服务器端发送请求。

实际编写代码:

1.客户端:将非同源的服务器端请求地址写在 script 标签的 src 属性中。(script标签中的src属性拥有发送请求的能力,且不受同源政策的影响。但请求地址不管是什么样子的,都必须返回合法的js代码。)

    <script src="http://localhost:8889/test"></script>

2.客户端:在客户端全局作用域下定义函数 fn,且必须写在script 标签上面

    <script>
        function fn(data) {
            console.log('客户端的fn函数被调用了');
            console.log(data);
        }
    </script>

3.服务器端:调用函数fn,但是要写成字符串的形式,然后写在res.send()中。

//非同源服务器的app.js
app.get('/test', (req, res) => {
    // 返回函数调用的代码,但是函数调用是在客户端进行的
    const result = 'fn({name:"张三"})';
    res.send(result);
});
优化代码

1.将 script 请求的发送变成动态请求,动态创建script标签

    <script>
        //获取按钮
        var btn = document.getElementById('btn');
        //为按钮添加点击事件
        btn.onclick = function() {
            //创建script标签
            var script = document.createElement('script');
            //设置src属性
            script.src = 'http://localhost:8889/test';
            //将script标签追加到页面中
            document.body.appendChild(script);
            //监听script加载
            script.onload = function() {
                //将body中的script标签删除
                document.body.removeChild(script);
            }
        }
    </script>

2.客户端需要将函数名称传递到服务器端。

//修改客户端代码
//设置src属性
script.src = 'http://localhost:8889/test1?callback=fn';

//修改非同源服务器端代码app.js
app.get('/test1', (req, res) => {
    //接收客户端传递过来的函数名称
    const fnName = req.query.callback;
    //将函数名称对应的函数调用代码返回给客户端
    const result = fnName + '({name:"张三"})';
    res.send(result);
});

3.封装 jsonp 函数,方便请求发送。

//封装jsonp
function jsonp(options) {
            //创建script标签
            var script = document.createElement('script');
            //拼接字符串
            var params = '';
            for (var attr in options.data) {
                params += '&' + attr + '=' + options.data[attr];
            }
            // 生成随机函数名
            var fnName = 'myJsonp' + Math.random().toString().replace('.', '');
            //success已经不是全局函数了,服务器端返回函数调用找不到函数,想办法变成全局函数
            window[fnName] = options.success;      
            //设置src属性
            script.src = options.url + '?callback=' + fnName + params;
            //将script标签追加到页面中
            document.body.appendChild(script);
            //监听script加载
            script.onload = function() {
                //将body中的script标签删除
                document.body.removeChild(script);
            }
        }

//调用jsonp
 jsonp({
     //请求地址
     url: 'http://localhost:8889/test1',
     data: {
         name: 'lisi',
         age: 30
     },
     success: function(data) {
         console.log(123);
         console.log(data);
     }
 });

4.服务器端代码优化,jsonp方法直接将json对象转换为字符串并传递给客户端。

app.get('/test1', (req, res) => {
    // //接收客户端传递过来的函数名称
    // const fnName = req.query.callback;
    // //将函数名称对应的函数调用代码返回给客户端
    // //如果数据从数据库中获取,它是一个json对象
    // const data = { name: "张三" }
    // const result = fnName + '(' + data + ')';
    // res.send(result);

    //可以替换掉上面繁琐的代码
    res.jsonp({ name: 'lisi', age: 20 });
});

二.CORS跨域资源共享

CORS全称为 Cross-origin resource sharing,即跨域资源共享(跨域即非同源),它允许浏览器向跨域服务器发送 Ajax 请求,克服了 Ajax 只能同源使用的限制。简单来说,就是在服务器允许的情况下,就可以实现跨域访问。
该解决方案主要是在服务器端做一些配置,客户端保持原有的ajax代码不变。

跨域实现过程:
在这里插入图片描述
客户端向服务器端发送请求时,如果浏览器检测到这个请求是跨域的,就会自动在请求头中加入origin字段,字段值即当前发送请求的域信息(这个域信息即当前网站的页面地址,包括协议,域名,端口号)。服务器端根据字段值决定是否同意这次请求。但无论服务器端是否同意这次请求,都会给客户端一个正常的http响应。如果同意这次请求,服务器端会在响应头中加入Access-Control-Access-Origin字段(该字段值通常是访问服务器端的源信息或表示允许所有客户端访问的‘ * ’)。浏览器端会自动根据是否有这个响应头字段判断这次请求是否被同意。

代码实现:

//非同源服务器端app.js
//CROS跨域资源共享
app.use((req, res, next) => {
    //实际上都是设置在响应头中
    //1.允许哪些客户端访问该服务器
    res.header('Access-Control-Allow-Origin', '*');
    //2.允许客户端使用哪些请求方法访问该服务器
    res.header('Access-Control-Allow-Methods', 'get,post');
    next();
})

三.服务器端解决方案

同源政策是浏览器给予Ajax技术的限制,服务器端是不存在同源政策限制。
在这里插入图片描述
代码实现:

//A浏览器端
//获取按钮
var btn = document.getElementById('btn');
//为按钮添加点击事件
btn.onclick = function() {
   ajax({
       type: 'get',
       url: 'http://localhost:8888/server', //向自己获取数据
       success: function(data) {
           console.log(data);
       }
   });
};

//A服务器端
//向其他服务器端请求数据的模块
const request = require('request'); 

app.get('/server', (req, res) => {
    request('http://localhost:8889/cross', (err, response, body) => {
        //body就是请求的数据
        res.send(body);
    })
});

//B服务器端
app.get('/cross', (req, res) => {
    res.send('ok');
});

设置发送跨域请求时携带Cookie信息

在使用Ajax技术发送跨域请求时,默认情况下不会在请求中携带cookie信息。
如何设置?
客户端中,设置ajax对象:xhr.withCredentials = true;
服务器端中,设置响应头:res.header('Access-Control-Allow-Credentials', true);
注意:必须两者同时设置才能实现发送跨域请求时携带Cookie信息

咖喱盖饭真的香
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ajax学习笔记01
m0_62979216的博客
06-01 75
1、ajax的特点 1.1Ajax的优点 1)可以无需刷新页面与服务器端进行通信 2)允许根据用户事件来更新部分页面内容 1.2Ajax的缺点 1)没有浏览历史,不能回退 2)存在跨域问题(同源) 3)SEO不友好(Ajax异步请求到的结果,网页当中的内容爬虫爬不到) 2、HTTP协议 HTTP(hypertext transpor...
前端学习笔记-8.5同源策略
qq_43000359的博客
10-01 202
最初,它的含义是指:A网页设置的Cookie,B网页不能打开,除非这两个网页同源同源指的是: 协议相同, 域名相同, 端口相同。 同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。 随着互联网的发展,同源策略越来越严格,现在的同源指的是: Cookie、LocalStorage 和 IndexDB 无法读取。 DOM 无法获得。 AJAX 请求不能发送。 Cookie Cook...
Ajax学习笔记(三)--- 同源政策和跨域解决方案
weixin_45092437的博客
10-07 456
一、同源政策 ​ 什么是同源?如果两个页面拥有相同的协议、域名和端口,那这两个页面就属于同源页面,如果有其中一项不同,就是不同源。 ​ 同源政策的目的是为了保证用户的信息安全,防止恶意网站窃取数据。最初的同源政策是指 A 网站在客户端设置的 Cookie,B网站是不能访问的。随着互联网的发展,同源政策也越来越严格,在不同源的情况下,其中有一项规定就是无法向非同源地址发送Ajax 请求,如果请求,浏览器就会报错。 ​ 简单来说,就是Ajax 只能向自己的服务器发送请求。比如现在有一个A网站、有一个B网站
尚硅谷Ajax学习笔记--操作部分
weixin_51574027的博客
07-07 1344
ajax的基本操作,使用node+express实现,编辑器为vscode
Ajax学习笔记--跨域
watson_pillow的博客
08-29 144
跨域背景举例封装 背景 ajax的页面地址与提供服务的地址需要同源; ajax是为了访问本地服务器,跨域是为了访问其他服务器 同源:协议相同,域名相同,端口号相同(不同源:(http与https)(www.zhangsan.com与www.lisi.com)(www.zhang.com与www.zhang.com:89)) 跨域:通过script标签 src属性指向外部的js文件。如: <script src="www.lisi.com/php/test.js"></script&gt
Ajax学习笔记
2301_82244607的博客
04-28 926
XMLHttpRequest():创建 XHR 对象的构造函数status:响应状态码值,如 200、404statusText:响应状态文本,如 ’ok‘、‘not found’readyState:标识请求状态的只读属性 0-1-2-3-4onreadystatechange:绑定 readyState 改变的监听responseType:指定响应数据类型,如果是 ‘json’,得到响应后自动解析响应response:响应体数据,类型取决于 responseType 的指定。
学习笔记】尚硅谷-AJAX
Morejay的博客
09-05 470
尚硅谷3小时学习AJAX视频学习笔记
Ajax学习笔记(3)
2301_82244607的博客
04-28 931
XML 可扩展标记语言。XML 被设计用来传输和存储数据。XML 和HTML 类似,不同的是HTML 中都是预定义标签,而XML 中没有预定义标签,全都是自定义标签,用来表示一些数据。//比如说我有一个学生数据://name = “孙悟空”;age = 18;gender = “男”;//用XML 表示:孙悟空18男现在已经被JSON 取代了。{“name”:“孙悟空”,“age”:18,“gender”:“男”}
前端学习笔记-AJAX
qq_43128157的博客
01-03 422
AJAXAJAX原生AJAXAJAX简介XML简介Ajax特点HTTP请求报文响应报文Ajax请求步骤get请求post请求服务端响应JSON数据nodemon解决ie缓存问题请求超时与网络异常取消请求避免重复请求(节流阀)jQuery中的Ajax1.get请求2.post请求3.通用方法Ajax常用参数axios发送Ajax1.特点2.get请求3.post请求4.通用Ajax请求fetch发送Ajax跨域同源策略解决跨域JSONPCORS(跨域资源共享) AJAX 原生AJAX AJAX简介 Ajax
Ajax学习笔记.zip
09-19
Ajax,全称Asynchronous JavaScript and XML,是一种在无需重新加载整个网页的情况下,能够更新部分网页的...Ajax.pdf和Ajax2.pdf很可能是关于这些概念的详细教程,包含了实例和实践指导,对于深入学习Ajax非常有帮助。
揭开AJAX神秘的面纱(AJAX个人学习笔记)第1/5页
10-29
5. **跨域问题**:AJAX请求受到同源策略的限制,了解如何使用JSONP或CORS解决跨域请求。 6. **性能优化**:理解如何减少不必要的服务器请求,缓存数据,以及使用分页和延迟加载技术来提高页面性能。 7. **安全性...
ajax学习笔记代码
03-19
**Ajax学习笔记代码详解** Ajax,全称Asynchronous JavaScript and XML,是一种在无需重新加载整个网页的情况下,能够更新部分网页的技术。它通过在后台与服务器进行少量数据交换,使网页实现异步更新。这种技术的...
Ajax 学习笔记,超详细的噢!不看后悔
05-29
在这份超详细的Ajax学习笔记中,我们将深入探讨以下几个关键知识点: 1. **基础概念**:Ajax的核心是JavaScript对象XMLHttpRequest,它使得前端和后端能够进行异步通信。异步意味着用户在等待服务器响应时可以执行...
经典ajax学习笔记
05-25
以下是一份详细的Ajax学习笔记,涵盖了其基本概念、工作原理、优势与限制,以及实际应用。 ### 一、基本概念 Ajax的核心是JavaScript对象XMLHttpRequest(XHR),它允许浏览器在后台与服务器进行通信,而不会打断...
webSocker消息推送,ajax轮询
weixin_43617604的博客
07-18 190
但是,传统的AJAX并不直接支持实时消息推送,因为它基于请求-响应模式。为了模拟消息推送,你可以使用轮询(polling)或长轮询(long-polling)技术。但是,传统的AJAX并不直接支持实时消息推送,因为它基于请求-响应模式。为了模拟消息推送,你可以使用轮询(polling)或长轮询(long-polling)技术。一旦建立了WebSocket连接,服务器和客户端就可以随时向对方发送消息,而不需要像AJAX那样频繁地发起请求。轮询是定期向服务器发送请求,以检查是否有新的消息。
【.NET全栈】ASP.NET开发Web应用——AJAX开发技术
最新发布
JosieBook
07-18 572
AJAX技术是这几年中出现的较为热闹的技术。大多数的Web开发者都已经关注,或正在使用AJAXAJAX全称是Asynchironous JavaScript and XML。中文称为异步JavaScript和XML。AJAX本身不能称为一门技术、语言或者软件。它是由多种技术组合,这些技术存在了很多年,现在借助于AJAX组合,称为一种新的开发模式。认识ASP.NET AJAXASP.NET AJAX服务器扩展ASP.NET AJAX服务器端控件扩展。
使用AJAX发起一个异步请求,从【api_endpoint】获取数据,并在成功时更新页面上的【target_element】
xixixixixixixi21的博客
07-18 113
在Web开发中,使用AJAX(Asynchronous JavaScript and XML,异步JavaScript和XML)可以实现在不刷新整个页面的情况下,向服务器发送请求并获取数据。// 发送请求xhr.send();在这个例子中,onload事件会在请求完成且成功时触发,然后我们处理返回的数据并更新指定的HTML元素内容。
【精简版】jQuery 中的 Ajax 详解
weixin_46485638的博客
07-15 672
精简的 jQuery 中的 Ajax 详解。
Ajax学习笔记pink老师
07-29
对于学习Ajax,我可以为您提供一些学习笔记。以下是一份简要的Ajax学习笔记,希望对您有所帮助: 1. 什么是Ajax? - Ajax全称为Asynchronous JavaScript and XML(异步JavaScript和XML),是一种用于创建交互式Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值