同源策略(Same origin Polity)
浏览器出于安全考虑,只会于本域下的接口交互。不同源的客户端脚本,在没有明确授权的情况下,不能读写对方资源。
什么是本域?
- 同协议: 如果是http或者https
- 同域名: 如果是http://xxxx.com/a || http://xxxx.com/b
- 同端口: 如果是80端口
看看不同源:
- http://xxx.com/admin/index.js || https://xxx.com/index.php (协议不同)
- http://xxx.com/admin/index.js || http://zzz.com/admin/index.js (域名不同,域名要完全相同)
- http://xxx.com:80/admin/index.js || http://xxx.com:8080/admin/index.js(端口不同,第一个是80)
JSONP 解决 跨域
需要后端支持
用script标签去请求,请求的数据由后台,
CORS 跨域资源共享
跨来源资源共享(CORS)是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比 JSONP要来的好。另一方面,JSONP 可以在不支持 CORS 的老旧浏览器上运作。现代的浏览器都支持 CORS。
122013@2x.png
postMessage
142907@2x.png
