一、同源政策
浏览器的同源政策限制了从一个源加载另外一个源的资源,它是浏览器的安全基石,所谓同源是指:
- 协议相同
- 域名相同
- 端口相同
注意:IE的同源策略有两个例外:
1.授信范围:两个相互之间高度互信的域名,如公司域名,不遵守同源策略的限制
2.端口:IE未将端口号加入到同源策略的组成部分之中(如例四,在IE中则认为同源)
举例说明:
以下与http://example.com:80/exam.html的同源性检测
1.https://example.com:80/exam.html //不同源,协议不同
2.http://example2.com:80/exam.html //不同源,域名不同
3.http://www.example.com:80/exam.html //不同源,域名不同
4.http://example.com:81/exam.html //不同源,端口不同 (此时IE中认为同源)
5.http://example.com:80/exam2.html //同源,协议、域名、端口都同
二、源的更改(document.domain)
由于同源政策的影响,即使是形如http://example.com:80/exam.html与http://www.example.com:80/exam.html也认为是异源而无法请求,这里有一个简单的方法可以完成他们之间的通信。
浏览器允许将document.domain设置为其当前域或其当前域的超级域,所以这里只需要将http://www.example.com:80/exam.html的document.domain设置为example.com即可。
三、CORS
CORS全称是"跨域资源共享"(Cross-origin resource sharing),它需要浏览器和服务器同时支持,以实现AJAX的异源请求。其实现主要依靠服务器的设置,即服务器HTTP响应头的“Access-Control-Allow-Origin”字段中加入允许跨域访问的域名即可,类似一个白名单的功能。
以http://ken.com访问http://qaq.com为例
服务器端:
response.setHeader("Access-Control-Allow-Origin","http://ken.com");
四、JSONP
AJAX跨域请求受限,而直接通过script标签获取js文件不受限,JSONP正是利用这个原理实现的跨域请求。
模拟数据:
{(callback)}({ "name":"ken","password":"hahahaha"})
服务器端: //数据作为回调函数参数传回
var string = fs.readFileSync('./qq_private.jsonp','utf-8')
response.setHeader('Content-Type', 'application/json;charset=utf-8')
string=string.replace("{(callback)}",query.callback)
response.end(string)
客户端: //定义函数处理接收到的数据
function fn(data){
console.log(data)
}
var script=document.createElement("script")
script.src="http://qq.com/qq_private.jsonp?functionName=fn"
document.head.appendChild(script)
四、CORS和JSONP的区别
- 原理不同,CORS是通过类似白名单的方式完成AJAX异域请求,而JSONP却是利用<script>标签的请求不受同源政策影响实现的,事实上已经与AJAX无关。
- JSONP由于其利用<script>的src属性发送请求,只能是GET方法,而CORS支持所有请求方法
- JSONP由于并没有访问权限的设置,相当于大家都可以访问该数据,因此存在了一定安全问题,而CORS由于本身就是只有允许的源才可访问成功,故相对安全
- JSONP支持老式浏览器,因为其本质只是<script>标签请求而已,而CORS则需要服务器与客户端浏览器同时支持
1.JavaScript标准参考教程-同源政策 阮一峰
2.HTTP访问控制 MDN
3.浏览器的同源策略 MDN
4.说说JSON和JSONP,也许你会豁然开朗,含jQuery用例
