从前端和后端分析跨域(两种方法jsonp和cors)

最新推荐文章于 2024-06-05 09:02:44 发布
最新推荐文章于 2024-06-05 09:02:44 发布
阅读量3.1k 收藏 4
点赞数 1
分类专栏: ajax 文章标签: jsonp cors laravel php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wl_0912/article/details/86480819
版权
  • 为什么会产生跨域?

          跨域是因为浏览器的安全策略:同源策略。服务器是没有做限制的

          请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同

 如下图

  • jsonp方式

原理:有三个标签是不限制同源的分别是<script type="text/javascript" src=""资源地址></script>、type="text/css" rel="stylesheet" href="资源地址"、<img src="资源地址" alt=""/> 。当链接的资源到达浏览器时,浏览器会根据他们的类型来采取不同的处理方式,比如,如果是css文件,则会进行对页面 repaint,如果是img 则会将图片渲染出来,如果是script 脚本,则会进行执行。jsonp方式就是利用了资源到达浏览器会被执行的特性,来达到跨域的目的的。

请看下边的例子

下面是原生js

<!doctype html>
<html>
<head>
    <meta charset="utf-8">
    <meta name="keywords" content="jsonp">
    <meta name="description" content="jsonp">
    <title>jsonp</title>
</head>
<body>

<script type="text/javascript" src="https://cdn.staticfile.org/jquery/1.10.2/jquery.min.js"></script>
<script type="text/javascript">
    var url = "http://shangcheng.com/test";
    // 创建script标签,设置其属性
    var script = document.createElement('script');
    script.setAttribute('src', url);
    // 把script标签加入head,此时调用开始
    document.getElementsByTagName('head')[0].appendChild(script);
    function callbackFun(data)
    {
        console.log(data.age);
        console.log(data.name);
    }
</script>
</body>
</html>

服务端(以php为例)

header('Content-type:application/json'); //注意一定要设置数据类型为json 不然js解析失败
$json = ['age'=>100,'name'=>'yuanfang'];
return 'callbackFun'.'('.json_encode($json).')';  //这里的callbackFun要与前端回调执行函数一致

因为我用的是laravel框架所以附上laravel demo 

$json = ['age'=>100,'name'=>'yuanfang'];
$data = 'callbackFun'.'('.json_encode($json).')';
return response($data,200)->header('Content-type','application/json');

下面是以jq为例演示

<!doctype html>
<html>
<head>
    <meta charset="utf-8">
    <meta name="keywords" content="jsonp">
    <meta name="description" content="jsonp">
    <title>ajax</title>
    <style type="text/css">
        *{margin:0;padding:0;}
        div{width:600px;height:100px;margin:20px auto;}
    </style>
</head>
<body>
<div>
    <a href="javascript:;">ajax测试</a>
</div>

<script type="text/javascript" src="https://cdn.staticfile.org/jquery/1.10.2/jquery.min.js"></script>
<script type="text/javascript">
    function callbackFun(data)
    {
        console.log(111);
        console.log(data.name);
        data.age = 10000000;
        alert(0000);
    }
    $(function(){
        $("a").on("click", function(){
            $.ajax({
                type:"post",
                url:"http://shangcheng.com/test",
                dataType:'jsonp',
                jsonp:'mycallback',
                jsonpCallback:'callbackFun',
                success:function(data) {
                    console.log(2222);
                    console.log(data.age);
                }
            });
        })
    });
</script>
</body>
</html>

图片上可以看到ajax回调函数callbackFun和success都被执行了,并且是先执行callbackFun,下边看另外一个例子

可以看到当我们在callbackFun中对返回值做了修改的话success中值会显示变化后的值,并且执行到alert的时候如果我们不点确定,后边success并不会执行,这说明ajax回调是同步执行的。

另外说点其他的,因为jsonp跨域是依赖于<script>所以它一定是get方式,尽管上边jqz中type写的是post但是jq底层会忽略前置设置为get

  • cors方式

nginx设置方法,假如你整个项目都需要跨域那么这种方式是比较适合的,在server中设置

    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' ;
    add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
    add_header 'Access-Control-Allow-Credentials' 'true'   //这个是设置是否接受cookie

 

laravel设置方法,可以写一个路由中间件来做验证

<?php

namespace App\Http\Middleware;

use Closure;

class CrossHttp
{
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        $response = $next($request);
        //$response->header('Access-Control-Allow-Origin', '*');
        //$response->header('Access-Control-Allow-Headers', 'Origin, Content-Type, Cookie, Accept');
        //$response->header('Access-Control-Allow-Methods', 'GET, POST, PATCH, PUT, OPTIONS');
        // $response->header('Access-Control-Allow-Credentials', 'true');
        return $response;
    }
}

 

并且在kernel中注册这个中间件即可

总结jsonp和cors两种优缺点

1)jsonp只可以是get方式,cors可以使get也可以是post

2)cors兼容性不是特别好,低版本的IE不支持

giant-one
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
请求两种方法 jsonpcors的实现
12-02
为了解决这个问题,开发者可以采用两种主要方法JSONP(JSON with Padding)和CORS(Cross-Origin Resource Sharing)。下面我们将详细讨论这两种方法。 **JSONP(JSON with Padding)** JSONP是一种早期的...
SpringBootJsonpCors方法
10-16
本文将深入探讨如何在SpringBoot框架中解决问题,主要涉及两种方法JSONPCORS。 ### JSONP(JSON with Padding) JSONP是一种解决问题的早期方案,它利用了`<script>`标签的`src`属性不受同源策略限制的...
ThinkPHP 配置请求,使用TP的内置类配置,小程序和web网页请求的区别及格式说明
m0_63622279的博客
09-30 3590
TP 框架提供的内置类: \think\middleware\AllowCrossDomain::class开启。在微信小程序中,可以使用小程序提供的JS-SDK中的wx.request方法发起CORS请求,header: { 'Content-Type': 'application/json', // 设置请求头信息 'Access-Control-Allow-Origin': '*' // 设置允许的源地址 },;在Web网页中,需要与服务协商设置允许的响应
微信小程序php,实现微信小程序与服务器(SSM)通信
weixin_32175665的博客
03-11 432
SSM(Spring+SpringMVC+MyBatis)框架集由Spring、SpringMVC、MyBatis三个开源框架整合而成。其中spring是一个轻量级的控制反转(IoC)和面向切面(AOP)的容器框架。SpringMVC分离了控制器、模型对象、分派器以及处理程序对象的角色,这种分离让它们更容易进行定制。MyBatis是一个支持普通SQL查询,存储过程和高级映射的优秀持久层框架。1、小...
JSONP解决方案有哪些局限性
最新发布
DKPT的博客
06-05 193
3、无法获取HTTP状态码和头部信息:使用JSONP发送的请求,浏览器无法像正常的XMLHttpRequest请求那样获取HTTP状态码和头部信息。4、无法处理复杂的错误处理:JSONP没有提供像XMLHttpRequest那样的错误处理机制。标签的src属性只能发送GET请求,不能发送POST或其他类型的HTTP请求。6、对老式浏览器的依赖:虽然JSONP可以在大多数现代浏览器中工作,但它依赖于浏览器对。在一些老式或特定的浏览器中,JSONP可能无法正常工作。标签来发送请求的,而。
和后台接口有无问题的状态区别
46054543的博客
07-17 256
登录业务的相关技术点: 我们的服务器和我们的前VUE可能存在一个的问题 如果前和后台接口之间不存在: 通过cookie在客户记录状态 通过session在服务器记录状态 反之则: 通过token方式维持状态 ...
什么是?怎么解决问题?
cristianoxm的博客
07-22 1085
一、什么是 ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,名,协议,口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.PHP (非) http://www.123.com/inde… 什么是,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安
三种解决方式(CORSJSONP、代理
热门推荐
卡卡西:一个擅长拷贝的前端程序员
05-12 2万+
什么是是浏览器为了安全而作出的限制策略(所以服务不涉及到); 浏览器请求必须遵循同源策略,即同名、同口、同协议; 例如: http://www.abc.com到http://www.def.com的请求会出现名不同) http://www.abc.com:3000到http://www.abc.com:3001的请求会出现口不同) http://www.abc.com到https://www.abc.com的请求会出现(协议不同) 解决方法: 1. ..
请求资源-jsonpcors区别.pdf
04-09
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全...
解决之JSONPCORS的详细介绍
01-19
JSONPCORS 什么是:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:名、协议、口均相同。 浏览器执行JavaScript脚本时,会...
后端交互 - 方式之 CORS方法后端服务器代理
秦兟
04-13 1004
:指的是浏览器行为,正常情况下是成功的,只是同源策略不允许拿数据,所以会报错。 jsonp 方式,主要的负担都由前来承担,但是无法携带参数。 cors 方式,主要的负担由后端来承担,看起来较为优雅。 node中间件方式,负担较轻。
常用的两种方法cors和proxy
jiandan1127的博客
05-08 4078
平时被问到最多的问题还是关于的,其实问题真的不是一个很难解决的问题。这里我来简单总结一下我推荐的几种解决方案。 我最推荐的也是我工作中在使用的方式就是:cors全称为 Cross Origin Resource Sharing(资源共享)。这种方案对于前来说没有什么工作量,和正常发送请求写法上没有任何区别,工作量基本都在后端这里。每一次请求,浏览器必须先以OPTIONS...
经典问题-问题
monkey's的博客
12-05 223
什么样的情况下会出现? 看协议、名、口号三个位置,只要有一处不同,就说明这个请求说的。 要理解问题,必须得知道什么是同源策略? 何谓同源: URL由协议、名、口和路径组成。 如果两个URL的协议、名和口相同,则表示他们同源。 同源策略: 浏览器的同源策略,限制了来自不同源的"document"或脚本,对当前"document"读取或设置某些属性。 从一个上加载的脚本不允许访问另外一个的文档属性。 举个例子: 比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二
问题详解
qq_38571892的博客
03-11 1万+
什么是 的概念很简单,即当一个请求URL的协议、名、口三者之间任意一个与当前页面URL不同则视为,而问题产生的原因主要是由浏览器的“同源策略”限制导致的,是浏览器对JavaScript 施加的安全限制。 什么是同源策略 所谓同源是指协议、名以及口要相同。我们举例说明:假如有这么一个网站:http://www.example.com/zw/index.html,很容易知道,它的协议是http://,名是www.example.com,口号是80(默认口可以省略),它的同源情况如下
nginx如何解决前后端问题
qq_36162696的博客
03-03 3743
nginx解决问题
【前后端分析与解决】
NGC_Miracle的博客
01-07 2634
前言-前后端问题 提示:对于现今,前后端分离,越来越普遍化,一旦分离,就出现了许多问题,其中就有的问题。以下内容,可供参考,也可以尝试,毕竟问题有可能不止一处。 一、什么是? 简单来说,就是不同源的网址之间进行数据共享互通(请求),这就是,而产生的根本原因是在浏览器上存在一种同源策略,也可以称作安全策略,它的出现就是为了保护本地数据不被JavaScript代码获取回来的数据污染。 而上面所谓的不同源,就是协议(http、https等)、名(可以是localh...
了解,看这篇就够了!
Ronychen的博客
07-18 1224
一、定义: 又名非同源策略请求,同源指的是相同的协议/名/口,三者都要一样才叫同源 二、产生的原因 服务器拆分(这样一拆分后名就不同了) web服务器:处理静态资源,比如为kbs.qq.com data服务器:业务逻辑和数据分析,包含数据管理asdasd.qq.com 图片服务器:image.qq.com 调用第三方开源接口,也会产生 三、判断同源和 通过协议、名、口三者来判断,只有三者都一样的时候才是同源,其中一项不同就是; 四、方案 1、早期及处
:基本概念、怎么判断是否同以及的解决方案
无面人的博客
03-24 1632
的基本概念、怎么判断是否同以及的解决方案
解决问题总结
monparadis的博客
12-06 1678
其实一般情况下,都是由后端解决问题,因为后端处理比前 更加方便,而且更加安全,前处理安全性不高,数据容易被劫持,但是当后端实在没办法解决的时候就需要我们前处理了 什么叫做:一个下的文档或者脚本视图请求另一个下的资源叫做 如何判断:同源策略:协议,名,口三者相同称为同源 限制行为:1.cookie,localstorage无法获取 2.dom和js对象无法获取 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值