1: 什么是同源策略
浏览器出于安全方面的考虑,只允许与本域下(同协议/同域名/同端口)的接口交互。不同源的客户端脚本在没有明确授权的情况下,浏览器不能读写对方的资源。
2: 什么是跨域?跨域有几种实现形式
跨域:当前执行或加载的js文件所在页面和该js里面请求消息的URL不同域。
跨域问题出现的场景:ajax请求不同域网站和iframe元素包含不同域网站。跨域请求数据,后端都是提供了数据的,是浏览器判断不同域拦截了数据
解决跨域问题的方式:
- jsonp
- CORS(Cross-Origin Resource Sharing,跨域资源共享)
- 降域
原理:主域名相同,二级域名不同,将二者的document.domain设置为主域名,则降为同域了
使用场景:操作iframe - postMessage
不同域之间不能相互获取数据,但是可以主动向对方发送数据,双方各自监听数据,然后自己决定是否使用该数据
3: JSONP 的原理是什么
实现基础:html中script标签可以引入其他域下的js。利用这个特性,可实现跨域访问接口。需要后端支持
注:script标签的作用,就是向src指向的地址发送请求,然后该地址返回数据,浏览器将得到的数据作为js去执行
** 实现方式:
1.定义数据处理函数_fun
2.创建script标签,src的地址指向后端地址,在地址最后加个参数callback=_fun
3.服务端在收到请求后,解析参数,计算返还数据,输出 fun(data)字符串。
4.fun(data)是后端返回的数据,作为 js执行**,即调用fun函数,data做为参数。
举例:
在script里请求数据:
<script src='http://www.weather.com.cn?city=chengdu&callback=showWeather'></script>
浏览器加载的js里面定义如下函数:
<script>
function showWeather(json){
...
}
</script>
后端返回字符串(浏览器将其作为js执行,即调用当前页面加载js的函数showWeather):
showWeather({
city: chengdu,
weather:{...}
})
缺点:有点复杂,不如ajax直白;容易出现xss攻击(获取的数据被当作js执行,可能会盗取本地数据等)
4: CORS是什么
CORS(Cross-Origin Resource Sharing,跨域资源共享),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。 实现方式很简单,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。
即在服务端返给请求方的http头部,加上如下字段。浏览器判断到response headers有如下字段,则不会拦截不同域数据。
Access-Control-Allow-Origin: 请求发起方的url 或者 *
5: 根据视频里的讲解演示三种以上跨域的解决方式
- jsonp(同上)
- cors(同上)
- 降域
二级域名间(不同域)嵌套操作时,使用document.domain = '主域名'降域(同域) - postMessage
嵌套页面互相发送postMessage,同时监听消息window.addEventListener('message',function(e) {})
