JSONP原理和CORS跨域

最新推荐文章于 2021-11-15 20:52:18 发布
最新推荐文章于 2021-11-15 20:52:18 发布
阅读量171 收藏 1
点赞数 1
分类专栏: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiapi3/article/details/113731718
版权

目录

1 JSONP

JSON with padding:填充式的JSON
由于ajax如果不设置dataType只能请求同源地址,无法跨域,所以需要使用其他跨域方式,已知三种跨域标签,可以引用别的地方的内容:img、link、script,而只有script引入的为js代码,可以作为js代码去解析,所以使用script标签进行跨域

2 script跨域

搭建简单的服务器:为保证引入的script代码能被浏览器正确解析,所以返回的内容必须为可解析的js代码
方案一:服务端拼接固定js语句,网页直接引入

const http = require('http')

http.createServer((req,res)=>{
    let time = new Date()
    let s =time.toString()
    res.writeHead(200,{"Content-Type":"text/plain;charset=utf-8;"})
    res.write(`document.write("当前时间:"+"${s}")`)
    res.end()
}).listen(3000)

script跨域:在index.html中设置标签如下,在加载完标签并解析后,页面会显示结果

<script src="http://localhost:3000"></script>

但是,如果在服务端写死返回代码,则不利于后续页面的处理,灵活性降低

方案二:服务端拼接函数,网页实现函数

res.write(`show("当前时间:"+"${s}")`)

网页:

<script>function show(x){document.write(x)}</script>
<script src="http://localhost:3000"></script>

但是,函数需要协商保持一致,如果不相同则无法成功,本该定义到页面的函数,却在服务端写死了

方案三:url中传递callback参数,参数名指定需要回调的js函数
服务端:

const http = require('http')
const url = require('url')

http.createServer((req,res)=>{
    let time = new Date()
    let s =time.toString()
    let callback = url.parse(req.url,true).query.callback
    // console.log(url.parse(req.url))
    res.writeHead(200,{"Content-Type":"text/plain;charset=utf-8;"})
    res.write(`${callback}("当前时间:"+"${s}")`)
    res.end()
}).listen(3000)

网页:

<!DOCTYPE html>
<html lang="en">
<head>
</head>
<body>
    <script>function show(x){document.write(x)}</script>
    
    <script src="http://localhost:3000?callback=show"></script>
</body>
</html>

但是,由于在script标签中,只会在页面加载的时候执行一次,如果想多次执行,则必须动态生成script标签!!
方案四:每次动态创建script元素,请求完毕删除元素,这样可以多次发送请求

<script>
$('button').click(function(){
	var script = document.createElement('script')
	script.src = "http://localhost:3000?callback=show"
	document.body.appendChild(script)
})
<script>function show(x){document.write(x);$('body>script:last').remove()}</script>
</script>

3 ajax跨域

ajax封装了方案四:

<!DOCTYPE html>
<html lang="en">
<head>
    <script src="https://apps.bdimg.com/libs/jquery/2.1.4/jquery.min.js"></script>
</head>
<body>
    <button>button</button>
    <script>
        $('button').click(function () {
            $.ajax({
                    url: 'http://localhost:3000',
                    type: 'GET',
                    dataType: 'jsonp'
                })
                .done(res => console.log(res))
                .fail(err => console.log(err))
        })
    </script>
</body>
</html>

特别注意:ajax只是简化了前端的跨域方法,对于后端服务器,依然需要按照方案三进行跨域支持!!

4 CORS跨域

CORS跨域全称跨域资源共享,允许浏览器发送跨域请求,通过判断服务器返回消息来判定当前服务器是否允许跨域请求

4.1 简单请求

简单请求类型为:

  • GET
  • POST
  • HEAD

且content-Type类型为:

  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

请求流程比较简单,直接发送请求,如果服务端不支持则直接报错

4.2 非简单请求

除了简单请求都是非简单请求,非简单请求会先发送一个预检请求preflight方位为OPTIONS,如果浏览器返回正确则后续流程和简单请求相同

4.3 CORS相关头域

4.3.1 Access-Control-Allow-Origin(必选)

这个值为跨域允许的域名:只能填*或者单域名
比如,www.a.com访问b.a.com,请求发出去后响应结果的该字段里为www.a.com则允许跨域,或者*也可以

4.4 预检请求preflight

该请求使用的方法是OPTIONS,用于询问,头信息里有几个主要字段:

  1. Origin:请求源
  2. Access-Control-Request-Method:必须,用来列出CORS会用到的HTTP方法
  3. Access-Control-Request-Headers:非简单请求中的额外的请求头字段
  4. Access-Control-Allow-Methods:必须,允许的http方法(POST、GET、OPTIONS、PUT、DELETE),GET和POST默认允许
天落枫
关注
专栏目录
跨域CORSJSONP原理
weixin_44809439的博客
10-16 237
跨域关键知识 同源策略 浏览器故意设计的一个限制功能 CORS 突破浏览器限制的一个方法 JSONP IE时代的妥协 同源策略 什么是同源? 源:协议 + 域名 + 端口号 如果两个url的协议,域名和端口号完全相同,那么这两个url就是同源。 http://www.baidu.com和http://baidu.com是不同源的,因为他们不完全相同 同源策略定义 如果JS运行在源A中,那么JS就只能获取A中的数据,不能获取源B的数据。 就算JS是从源B下载的,运行在A中,也不能读取源B的数据。 简单来说,同
跨域请求资源-jsonpcors区别
最新发布
ranweidaoke的博客
04-09 1056
JSONP原理:动态创建script标签;JSONP发送的不是Ajax请求不支持 Post 请求;CORS中文意思是跨域资源共享,需要服务器端进行CORS配置;CORS 发送的是真正的Ajax请求CORS 支持Ajax的跨域如果要启用 CORS 跨域资源共享,关键在于 服务器端,只要 服务器支持CORS跨域资源共享,则 浏览器肯定能够正常访问 这种 CORS 接口;而且,客户端在 发送 Ajax的时候,就像发送普通AJax一样,没有任何代码上的变化;
JSONPCORS两种常见跨域方式的简单实现
weixin_40283474的博客
03-23 1298
方式一. JSONP实现过程        先看代码:客户端关键代码如下,需要注意的是负责跨域的那个script标签放在callback函数的下面。&lt;script type="text/javascript"&gt; function callbackFunction(data) { console.log(data) } &lt;/script&gt; &l...
AJAX跨域调用相关知识-CORSJSONP(引)
weixin_33937499的博客
08-26 110
AJAX跨域调用相关知识-CORSJSONP 1、什么是跨域 跨域问题产生的原因,是由于浏览器的安全机制,JS只能访问与所在页面同一个域(相同协议、域名、端口)的内容。 但是我们项目开发过程中,经常会遇到在一个页面的JS代码中,需要通过AJAX去访问另一个服务器并返回数据,这时候就会受到浏览器跨域的安全限制了。 这里要注意,如果只是通过AJAX向另一个服务器发送请求而不要求数据返回,是不...
jsonpcors解决跨域问题的原理
qq_44441669的博客
02-07 209
jsonp jsonp原理:动态创建script标签 jsonp发送的不是ajax请求(本质上没有用到xmlHttpRequest这个请求对象 )不支持ajax请求 不支持post请求(只支持get请求) cors 中文意思是跨域资源共享,需要服务器端进行cors配置(前端不需要进行任何的配置) cors发送的是真正的ajax请求 cors支持ajax的跨域(ajax可以在cors模式下进行...
JSONPCORS两种跨域方式的优缺点及使用方法原理介绍
weixin_30338497的博客
01-17 419
  随着软件开发分工趋于精细,前后端开发分离成为趋势,前端同事负责前端页面的展示及页面逻辑处理,服务端同事负责业务逻辑处理同时通过API为前端提供数据也为前端提供数据的持久化能力,考虑到前后端同事开发工具和习惯的不同,必然需要将前后端项目进行独立,再者考虑到网站访问速度的问题,需要将静态资源部署到CDN服务器上这样项目分离也成为了必然。然而项目分离部署分离带来的问题就是跨域请求的问题,本...
Web笔记-使用jsonp解决跨域请求(CROS)问题
IT1995的博客
10-04 4272
目录 基本概念 代码与实例 基本概念 当我在某web站点,这个站点里面发出了像其他站点的请求(不同链接,或者同一链接的不同端口),是会失败的,因为是浏览器的安全检测问题,当然,这个只是主流浏览器的功能,如果开发者自己开发的浏览器那么CROS就看开发者自己怎么处理了,这里以Chorm浏览器为例。 这里安装插件,允许跨站即可: Allow-Control-Allow-O...
跨域解决之JSONPCORS的详细介绍
01-19
JSONP跨域CORS跨域 什么是跨域跨域:指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器的安全限制! 同源策略 同源策略:域名、协议、端口均相同。 浏览器执行JavaScript脚本时,会...
js实现跨域的几种方法汇总(图片ping、JSONPCORS
11-22
本文将重点介绍三种常用的方法:图片ping、JSONP以及CORS。 1. **图片ping**: 图片ping利用了HTML `<img>` 元素的特性,它可以不受同源策略限制,从任意URL加载图片。通过创建一个新的`<img>`元素并设置其`src`...
SpringBoot跨域JsonpCors的方法
10-16
本文将深入探讨如何在SpringBoot框架中解决跨域问题,主要涉及两种方法:JSONPCORS。 ### JSONP(JSON with Padding) JSONP是一种解决跨域问题的早期方案,它利用了`<script>`标签的`src`属性不受同源策略限制的...
你可能不知道的CORS跨域资源共享
10-17
CORS跨域资源共享)是Web...总结来说,CORS是现代Web开发中解决跨域问题的重要手段,它提供了一种安全可控的方式来打破同源策略的限制,使得不同源的Web应用能够有效地协同工作,极大地扩展了Web应用的能力和灵活性。
jsonp跨域原理_JSONP实现原理CORS官方跨域
weixin_39580564的博客
12-03 133
JSONPjsonp跨域的实现仅限于GET请求,不可用于POST”说明:实现的基本思路是利用html中script标签本身可跨域的特性,在发送请求时,在页面中创建script标签,追加到页面中。这实际上就像利用script标签引入外部资源/*main.js*///申明handle函数functionhandle(data){//dosomething....}ele.on...
js与jquery 跨域问题
gc1329689056的博客
11-02 3033
1.jQuery ajax方式以jsonp类型发起跨域请求,使用jsonp时也只能使用GET方式发起跨域请求。跨域请求需要服务端配合,设置callback,才能完成跨域请求。 前端: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-sca.
jsonp cookie 跨域原理详解
zha_zi的专栏
11-15 1406
JavaScript是一种在Web开发中经常使用的前端动态脚本技术。在JavaScript中,有一个很重要的安全性限制,被称为“Same-Origin Policy”(同源策略)。这一策略对于JavaScript代码能够访问的页面内容做了很重要的限制,即JavaScript只能访问与包含它的文档在同一域下的内容。 JavaScript这个安全策略在进行多iframe或多窗口编程、以及Ajax...
实现跨域的常见方式jsonpcors
weixin_41675013的博客
04-28 313
跨域 --什么是跨域(同源策略) --JSONP --CORS(服务器支持) 同源策略 --ajax请求是,浏览器要求当前网页和server必须同源(安全) --同源:协议、域名、端口、三者必须一致 加载图片 css js可无视同源策略 <script>可以实现JSONP --所有的跨域,都必须经过server端允许和配合 --未经server端允许就实现跨域,说明浏览器有漏洞,危险信...
JavaScript中的跨域问题
LuckXinXin的博客
11-12 216
涉及面试题:什么是跨域?为什么浏览器要使用同源策略?你有几种方式可以解决跨域问题?了解预检请求嘛? 因为浏览器出于安全考虑,有同源策略。也就是说,如果协议、域名或者端口有一个不同就是跨域,Ajax 请求会失败。 那么是出于什么安全考虑才会引入这种机制呢? 其实主要是用来防止 CSRF 攻击的。简单点说,CSRF 攻击是利用用户的登录态发起恶意请求。 也就是说,没有同源策略的情况下,A 网站可以被任意其他来源的 Ajax 访问到内容。如果你当前 A 网站还存在登录态,那么对方就可以通过 Ajax 获得你.
jsonpCORS跨域实现
ldldong的专栏
02-02 2087
js时总是会遇到跨域请求的问题,现在了解了两种方法,记录之: 1)使用$.ajax,但是返回数据类型要设置为jsonp,示例: $.ajax({ type: 'get', contentType: "application/json; charset=utf-8", url: "http://localhost:8080/
cors跨域(以及和jsonp的区别)
qq_33562825的博客
03-07 3585
上次我们说到,jsonp只支持get方式跨域,不支持post,是因为底层是使用script标签去接受请求,jsonp通过给script的src中的url设置回调函数,传给服务端后,服务端返回一个回调函数的调用,把数据包在这个回调函数里面,然后我们在全局中定义一下这个回调函数准备解析数据就好了。 现在假设我要跨域,同时跨域的时候传递的数据非常多,get对数据大小又有限制,用get就不靠谱,必须使用支持
JavaScript高级
xiaopi3的博客
11-15 2569
文章目录1 数据类型 1 数据类型 基本数据类型(5种) String Number Boolean undefined null(常用于引用变量赋初值和垃圾回收) 对象(引用)类型(3种) Object(任意类型都是该类型,函数、数组都是属于对象的) Function Array 判断数据类型方法: typeof:返回数据类型的字符串表达,用于除null外的基本数据类型判断,对于引用数据类型:除函数返回"function",其余都返回"object"(类型是小写) instanceof:只能对象进行比
详解JSONPCORS跨域解决方案:优缺点与实战应用
跨域问题在Web开发中是一个常见的挑战,特别是当客户端脚本试图访问不同源的服务器资源时。本文将深入探讨两种常用的跨域解决...无论哪种方式,理解它们的工作原理和优缺点都是开发人员在处理跨域问题时的重要技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值