前端跨域(跨域、CROS、JSONP)

最新推荐文章于 2024-08-12 09:48:39 发布
最新推荐文章于 2024-08-12 09:48:39 发布
阅读量398 收藏
点赞数
分类专栏: 前端体系构建 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobangsky/article/details/111096087
版权

跨域

  • 指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制。
  • 例如:a页面想获取b页面资源,如果a、b页面的协议、域名、端口、子域名不同,所进行的访问行动都是跨域的,而浏览器为了安全问题一般都限制了跨域访问,也就是不允许跨域请求资源。注意:跨域限制访问,其实是浏览器的限制。
  • 特别注意:不同源的页面之间,不准相互访问数据
同源策略
同源定义

  1. window.origin或location.origin 可以得到当前源
  2. 源 = 协议 + 域名 + 端口号
如果两个URL的
  1. 协议
  2. 域名
  3. 端口号
  4. 完全一致,那么我们可以认为这两个url就是同源的
举例
https://qq.com、https://www.baidu.com不同源
http://baidu.com、https/www.baidu.com 不同源
完全一致才算同源
同源策略定义
浏览器规定
  1. 如果JS运行在源A里,那么就只能获取源A的数据
  2. 不能获取源B的数据,即不允许跨域
举例(省略http协议)
  • 假设xiaobangsky.com/index.html引用了cdn.com/1.js
  • 【1.js运行在源xiaobangsky.com里】
  • 跟cdn.com没关系,虽然1.js从它那下载
  • 因此1.js只能获取xianbangsky.com的数据
  • 不能获取1.xiaobangsky.com或者qq.com的数据
这是浏览器的功能
  1. 浏览器故意这么设计的
  2. 目的是为了保护用户的隐私
如果没有同源策略
以qq空间为例:
  1. 源为 https://user.qzone.qq.com
  2. 假设当前用户已经登陆(用Cookie)
  3. 假设Ajax请求/friend.json可获取用户好友列表
  4. 到目前为止都很正常
黑客来了:
  • 假设你的女神分享 https://qzone-qq.com给你
  • 实际上是一个钓鱼网站
  • 你点开这个网页,这个网页也请求你的好友列表
  • https://user.qzone.qq.com/friend.json
  • 请问你的好友列表是不是就被黑客偷走啦
  • 好像是。。。。。
问题的根源
无法区分发送者:
  1. QQ空间页面里的js和黑客网页里的js
  2. 发送的请求几乎没有区别(referer有区别):什么是referer?当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的
    在这里插入图片描述
  3. 如果后台开发者没有检查referer,那么就没区别
  4. 因此,没有同源策略,任何页面都能偷qq空间的数据、
  5. 甚至支付宝余额
那么检查referer不就好了?
  • 安全原则:安全链条的强度取决于最弱一环
  • 万一这个网站的后端开发工程师是个小白呢?
  • 所以浏览器要主动预防这种偷数据的行为
  • 总之,浏览器为了用户的隐私,设置了严格的同源策略
CORS
  1. CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)
  2. 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制
举例
  1. 浏览器默认不同源之间不能相互访问数据
  2. 但是qq.com和xiaobangsky.com其实是同一家公司的网站
  3. 这家公司想要两个网站能够相互访问,浏览器为啥要阻止
解决办法
  • 浏览器说,如果要共享数据,需要提前说明
  • 怎么声明 :浏览器说,qq.com在响应头里面写xiaobangsky.com可以访问
  • 具体语法 :‘Access-Control-Allow-Origin’,‘http://xiaobangsky.com:9999’
  • 浏览器说:都在文档里面,去看MDN文档
  • 缺点:不支持IE6\7\8\9
JSON
  1. JSONP和JSON半毛钱关系都没有
  2. 由于前端水平低下,错误的将其称为JSONP
  3. JSONP实现跨域请求的原理简单的说,就是动态创建
优点
  1. 兼容IE
  2. 支持跨域
缺点
  1. 由于它是script标签,它不知道响应的状态,不知道响应的状态码,只知道成功或者失败。
  2. 只能发get请求,不能发post请求
案例
xiaobangsky.com访问qq.com
qq.com用script标签引用/friends.js
/friends.js执行,执行什么呢?
xiaobangsky.com事先定义好的window.xxx函数
/friends.js执行window.xxx({freinds:[...]})
然后xiaobangsky.com就通过window.xxx获取到数据了
window.xxx就是一个回调呀
具体代码

跨域实现demo

xiaobangsky
关注
专栏目录
跨域解决方案CROS最简单演示——JSP演示示例
oscar999的专栏
03-13 780
关于跨域访问的基本概念可以参考: 跨域访问的相关概念及解决方法 CORS ,Cross-Origin Resource Sharing,跨域资源共享。使用CORS可以实现使用AJAX访问跨域的资源。 CORS作为跨域访问的服务端解决方案,也是开发中最为常用的跨域访问方案。 演示示例 本篇的演示示例类同: 跨域解决方案之—JSONP 演示环境: 两个Tomcat tomcat9-1 , 端口8080, 项目app1 tomcat9-2, 端口9090,项目app2 演示目录如下: [外链图片转存失败,源站可
ajax xhrfields 跨域 json,CROS和JSON跨域
weixin_35890184的博客
08-05 1314
在浏览器的同源策略中,一个网站在未退出的情况下不能请求其他网站的资源,这是为了防止安全攻击。1. CORS 跨域CORS 跨域只需在后台文件的头部进行设置,适用于 GET,POST 请求,但在有些比较老的浏览器中不支持。app.all('*', function(req, res, next) {res.setHeader("Access-Control-Allow-Origin", 'http:...
前端网络——跨域
m0_51937621的博客
01-24 2068
前端网络——跨域 一、什么是跨域 1、跨域是指浏览器不能执行其他网站脚本,它是由浏览器同源策略造成的,是js的安全机制。 2、我们知道,页面本身由协议、域名、端口号等组成,例如:https://www.baidu.com:80。只要协议、域名和端口号三者中有任意一个不同,就算跨域跨域发生在哪里? 跨域行为发生在浏览器。 =过程= 在一次请求数据的过程中: 即使发生了跨域,请求亦可以发出; 服务器端可以接收、正常处理并正常返回; 数据返回后,浏览器可以接受到数据; 接收数据后,浏览器发现当前页面的域同请求
前端常见跨域解决方案(全)
weixin_34281537的博客
09-13 2235
什么是跨域跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的。 广义的跨域: 1.) 资源跳转: A链接、重定向、表单提交 2.) 资源嵌入: <link>、<script>、<img>、<frame>等dom标签,还有样式中background:url()、@f...
【JS】js处理跨域的方案之一:jsonp 详解
最新发布
呆呆狗
08-12 744
js处理跨域的方案之一:jsonp 详解;跨域的定义;JSONP的案例
JSONP
weixin_41470109的博客
04-16 319
       JSONP是JSONwithpadding(填充式JSON或参数式JSON)的简写,是应用JSON的一种新方法,在后来的Web服务中非常流行。JSONP看起来与JSON差不多,只不过是被包含在函数中的JSON。collback({"name":"NINI"});      JSONP是由两部分组成:回调函数和数据。回调函数是当响应到来时应该在页面总调试的函数。回调函数的名字一般食杂请...
前端跨域
AiceIce的博客
08-04 413
今天被问懵逼了,好久没处理过跨域的问题了,写个文章总结下吧。
跨域解决方案二:使用JSONP实现跨域
weixin_30247307的博客
04-15 92
跨域的实现方式有多种,除了 上篇文章提到的CORS外,常见的还有JSONP、HTML5、Flash、iframe、xhr2等。 这篇文章对JSONP跨域原理进行了探索,并将我的心得记录在这里和大家分享。 JSONP跨域原理探秘 我们知道,使用 XMLHTTPRequest 对象发送HTTP请求时,会遇到 同源策略 问题,域不同请求会被浏览器拦截。 那么是否有方法能绕过 XM...
前端学习笔记——跨域JSONP
lxy95512的博客
03-12 114
同源策略 什么是同源 如果两个页面的协议,域名和端口都相同,则两个页面具有相同的源。 什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 MDN 官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 通俗的理解:浏览器规定,A 网站的 JavaScript,不允许和非同源的网站 C 之间,进行资源的交互,例如: 无法读取非同源网页的 Cookie、LocalSt
jsonp跨域
垂耳兔的博客
03-18 742
关于跨域讨论的是比较多的,实现跨域的方式也有很多种,jsonp,cros,代理等等。关于跨域的诸多方式就不多说,主要说说一个很小众的问题,关于jsnop的。 先来回答一个小问题:实际工作中跨域请求用JSONPCORS,Proxy那个使用频率更高? 首先是proxy最多、其次是corsjsonp最后 通过nginx进行代理这个方法最好, 因为不管什么环境, 你只要请求/api/xxxx就可以了。 Proxy理论上是应该是最多的。 现在前端能搞定的, 中小型公司后端都不愿意写Proxy,因为他们根本
前端跨域解决方案
10-12
前端跨域解决方案,jsonp和cros两种解决方式。我们发现,Web页面上调用js文件时不受是否跨域的影响,凡是拥有"src"这个属性的标签都拥有跨域的能力,比如[removed]、、<iframe>。那就是说如果要跨域访问数据,...
快速解决跨域请求问题:jsonpCORS
10-18
主要介绍了快速解决跨域请求问题:jsonpCORS,涉及jsonpCORS的介绍,分享了前端 jQuery 写法,后端 SpringMVC 配置,后端非 SpringMVC 配置等相关内容,具有一定借鉴价值,需要的朋友可以参考下。
跨域CORSJSONP
baidulixueqin的博客
02-15 1297
跨域CORSJSONP(面试必考) ajax和Promise的跨域问题 跨域一般用2种方案JSONPCORS 跨域 前端与后端的交互。 关键知识 1.同源策略 浏览器故意设计的一个功能限制 2.CORS 突破浏览器限制的一个办法 3.JSONP IE时代的妥协 一.同源策略 1.同源定义 源 控制台输入window.origin或location.origin可以得到当前源 源=协议+域名+端口号 如果两个url的协议、域名、端口号完全一致,那么这两个url就是同源的。 举例 https://
前端常见跨域
耐得住寂寞也是一种境界
03-25 439
前端跨域 本文总结前端常用的跨域方案和例子,以及周边的应用知识 (1)跨域原理 (2)域名概念 (3)本地简单模拟跨域 (4)常见跨域方案
前端跨域知识
Rnger的博客
08-23 532
1、什么是跨域跨域:只要协议、域名、端口有一个不相同就是属于跨域,为了浏览器安全考虑,浏览器有一个同源策略,但也为iframe引入和ajax请求带来不少的麻烦,所以需要通过一些方法是本地js能够操作其他域的页面对象或者其他域的js能够操作本域的页面对象(iframe之间)。下面是具体的跨域情况详解: URL 说明 是否允许通信 http://www.a.com/a....
前端跨域详解
liuyang1106的博客
10-21 351
跨域造成的原因 1.浏览器限制(同源策略) 同源策略的解释有很多,我这里贴上阮一峰老师的解释地址,有兴趣可以去看看阮一峰同源策略,用一句话解释就是,协议相同,端口相同,域名相同。比如下面这个url,https://www.baidu.com:443,使用的是https协议,域名是www.baidu.com,端口是443。当三者有一者不同,则会触发浏览器的同源策略,也就是通常所说的跨域。 2....
前端跨域简单理解
Junior2Ran的博客
04-12 589
满足跨域的条件1.域名不同,例如: a.com与b.com www.a.com与a.com(同一域名,不同二级域名) chs.a.com与en.a.com(主域名相同,子域名不同) a.com与70.32.92.74(对应ip地址) 2.协议不同,例如:http协议与https协议3.端口不同,例如:a.com:80与a.com:8080跨域的解决方法1.document.domain + ifra
前端跨域尝试
Joanne_join的博客
07-07 149
原生ajax:get function getTime(){ //1.创建ajax对象 var xhr= new XMLHttpRequest(); //2.准备请求(请求类型,后端地址):此处请求并没有传数据出去,只是发送了一个请求 xhr.open("get","/gettime"); //3.监听ajax的状态变化 xhr.onreadystatechange= funtion(){
前端实现跨域请求的JSONP方法
"这篇文档主要介绍了跨域请求的几种方式,包括前端JSONP方法以及相关的后台处理。" 跨域请求是Web开发中常见的问题,由于浏览器的安全策略,同一个源的网页不能随意向其他源发送AJAX请求。这里的"源"指的是协议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaobangsky

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值