什么是同源策略##
同源策略是浏览器最基本的功能,同源指得是相同的域名、协议和端口号,不同的源的客户端脚本在没有明确授权的情况下,无法相互读取对方的资源称之为同源策略。
什么是跨域?跨域有几种实现形式##
跨域即突破同源策略限制的方法,并且都需要得到服务端的支持,有如下几种形式:
JSONP:html中script标签可以引入其他域下的js,比如引入线上的jquery库。
- 创建script标签,src的地址执行后端接口,最后加个参数callback=function,其中function为本地定义的处理后端数据的函数
- 服务端在收到请求后,解析参数,计算返还数据,输出 function(data) 字符串
- function(data)会放到script标签做为js执行。此时会调用function函数,将data做为参数
CORS:CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。
- 当使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin
- 后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin;如果其值包含域名或者 “”号。“”号表示允许任何域名向我们的服务端提交请求
- 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。
降域
使用document.domain的方法实现相同基础域名之间的跨域
例:有三个域名
a.test.com
b.test.com
test.com
可在a.test.com和b.test.com加入document.domain = "test.com"实现以上三个域名之间的跨域。
postmessage
postmessage为window的方法,可实现跨文档、多窗口、跨域消息的传递,postMessage(data,origin)方法接受两个参数,data是要传递的数据,origin是目标的源
参考参考:http://www.cnblogs.com/dolphinX/p/3464056.html
同源策略及跨域出错演示##
同源策略.png
跨域出错.png
JSONP跨域及CORS跨域演示##
JSONP跨域.png
CORS跨域.png
