一、同源策略
要理解跨域,先要了解一下“同源策略”。所谓同源是指,域名,协议,端口相同。所谓“同源策略“,简单的说就是基于安全考虑,当前域不能访问其他域的东西。
图片来源网络
二、jsonp是怎么产生的?
1、根据同源策略的规定,ajax请求其他域名或服务器的文件是不被允许的,不管是静态页面、动态页面一律禁止跨域访问。
2、可以我们发现带src属性的标签是不受“同源策略”的限制的,例如script,link,img等标签。
3、所以聪明的开发人员就利用script的src去请求数据
三、jsonp
callback({ "name" : "wangjiankui"})
jsonp是由两部分组成,回调函数和数据。回调函数是当页面的响应到来时在该页面调用的函数。数据就是传入回调函数的jsonp数据,就想下面的链接一样,典型的jsonp回调函数:
http://www.abc.com?callback=abc
//callback是和后台约定的参数,abc则为响应到来时的回调函数名
四、如何实现?
我用wampserver在本地启动一个服务器,然后用本地的html文件来访问服务器,用来简单模拟跨域请求,模拟服务器路径如下:
http://localhost/ajax/ab.php
服务器上的php代码如下,能返回一个简单的数组:
<?php
$arr=array('a'=>1,'b'=>2,'c'=>3,'d'=>4,'e'=>5);
$result=json_encode($arr);
$callback=$_GET['callback'];
echo $callback."($result)";
?>
接下来就是写本地的html文件来访问这个服务器上的php文件,接收返回的数据:
html文件的路径如下:
file:///D:/wamp/www/ajax/ajax2.html
html代码如下:
<script type="text/javascript">
//数据返回时的回调函数
var showName = function(data){
console.log(data);
//data:{a: 1, b: 2, c: 3, d: 4, e: 5}
};
var script = document.createElement("script");
script.type = "text/javascript";
script.src = "http://localhost/ajax/ab.php?callback=showName";
document.getElementsByTagName('head')[0].appendChild(script);
</script>
这样就可以成功的访问其域名下的文件了。楼主文字水平有限,不能和好的面试,直接看代码比较好。欢迎高手来指正错误。
jsonp的缺点:
1、jsonp是从其他域中加载代码执行,如果其他域不安全,很可能会在响应中夹带一些恶意代码,此时除了完全摒弃jsonp调用外,没有办法追究,在使用不是自己的运维的服务器时一定要保证它安全可靠。
2、要确定jsonp请求是否失败并不容易,虽然HTML5给<script>增加了一个onerror事件处理程序,但是并没有得到大多数浏览器的支持。为此,不得不使用计时器检测指定时间内是否得到相应,,,这也不尽如意,毕竟用户上网速度和带宽都不一样。
