跨域

同源策略

1 . 含义
1995年,同源策略由netscape公司引入浏览器,目前,所有浏览器都实行这个策略。同源的含义是指三个相同:

  • 协议相同
  • 域名相同
  • 端口相同
  1. 目的
    同源策略的目的是为了保护用户信息的安全,防止恶意网站窃取数据。
    设想这样一种情况:a网站是一家银行,用户登录以后,又去浏览其他的网站,如果其他的网站可以读取a网站的cookie,会发生什么?
    很显然,如果cookie包含隐私(比如存款金额),这些信息就会泄露、更可怕的是,cookie往往用来保存用户的登录状态,如果用户没有退出登录,其他网站就可以冒充用户,为所欲为。因为浏览器同时还规定,提交表单不受同源策略的限制。
  2. 限制范围
    三种行为受到限制:
  • cookie/localstorage/indexdb无法读取
  • dom无法获得
  • ajax请求不能发送

跨域及实现形式

含义
跨域就是突破同源策略的限制,使一个域名的网页可以请求另一个域名的资源。
实现方式

  • jsonp:步骤:
  1. 定义数据处理函数_fun
  2. 创建script标签,src的地址执行后端接口,最后加个参数callback=_fun
  3. 服务端在收到请求后,解析参数计算返回数据,输出fun(data)字符串
  4. fun(data)会放到script标签作为js执行,此时会调用fun函数,将data作为参数。
    代码:
    html:
<div class='container'>
    <ul class='news'>
        <li></li>
       <li></li>
       <li></li>
    </ul>
    <button class='change'>第一组</button>
</div>

前端

$('.change').addEventListener('click',function(){
    var script=document,createElement('script');
    script.src='http://localhost:8080/getnews?callback=appendHtml';
    document.head.appendChild(script);
    document.head.removeChild(script);
})
function appendHtml(news){
    var html='';
    for(var i=0;i<news.length;i++){
      html+='<li>'+news[i]+'<li>';
}
    console.log(html);
    $('.news').innerHtml=html
}

后台:

var cb=req,query,callback;
if(cb){
    res.send(cb='('+JSON.stringify(data+'))')
}else{
    res.send(data);
}

<div class='container'>
    <ul class='news'>
        <li></li>
       <li></li>
       <li></li>
    </ul>
    <button class='change'>第一组</button>
</div>

前台:

$('.change').addEventListener('click',function(){
    var xhr=new XMLHttpRequest();
    xhr.open('get','http://jrg,com:8080',true);
    xhr.send();
    xhr.onreadystatechange=function(){
      if(xhr.readyState===4&&xhr,status===200){
        appendHtml( JSON.parse(xhr.responseText))
}
}
})
function appendHtml(news){
    var html='';
    for(var i=0;i<news.length;i++){
      html+='<li>'+news[i]+'</li>'
}
    console.log(html);
    $('.news').innerHtml=html;
}

后台:

app.get('/getNews',function(req,res){
    var news=[.....]
var data=[];
for (var i=0;i<3;i++){
    var index=parseInt(Math.random()+news.length);
    data.push(news[index]);
    news.splice(index,1);
}
res.header('Acess-Control-Allow-Origin','http://a.jrg.com:8080');
res,send(data);
})
  • 降域
    仅限于主域名相同子域名不同的两个页面的交互,可以通过设置document.damain属性来使来年各个页面个的域名相同,从而避开同源策略,实现跨域。。
  • postMessage
    两个窗口能够通信的前提是一个窗口以iframe的形式存在于另一个窗口,或者一个窗口是通过另一个窗口通过window.open()或者超链接的形式打开的。
    理解就是a向b发送消息,如果b接收就监听message事件,然后b向a发送消息,如果接收a就监听message事件
    示例代码:
    a.html中:
<input type='text' placeholder='http:a.jirengu.com:8080/a.html'>
<iframe src='http://localhost:8080/b.html' frameborder='0'></iframe>
<script>
    $(.main input).addEventListener('input',function(){
        console.log(this.value)
        window.frames[0].postMessage(this.value.'*');
})
window.addEventListener('message',function(e){
    $('.main input').value=e.data
    console.log(e.data)
})
<script>

b.html中:

<input id='input' type='text' placeholder='http://b.jirengu.com:8080/b.html'>
<script>
    $('#input').addEventListener('input',function(){
      window.parent.postMessage(this.value,'*')
})
window.addEventListener('message',function(e){
    $('#input‘).value=e.data
    console.log(e.data)
})
<script>

JSONP的原理

通过<script>标签向服务器发送请求,将前端方法作为参数传递到服务器,服务器接收到请求后将JSON数据作为该方法的参数,返回javascript文本前端方法就可以拿到数据。
由于使用的是script标签的src属性,所以只支持get方法

cors

cors定义一种跨域访问机制,可以让ajax实现跨域访问。cors允许一个域上的网络应用向另一个域提交跨域ajax请求实现此功能非常简单,只需向服务器发送一个响应头即可。
`header('Access-Control-Allow-Origin:http://www.test2.com')

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,884评论 6 492
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,755评论 3 385
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,369评论 0 348
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,799评论 1 285
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,910评论 6 386
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,096评论 1 291
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,159评论 3 411
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,917评论 0 268
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,360评论 1 303
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,673评论 2 327
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,814评论 1 341
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,509评论 4 334
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,156评论 3 317
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,882评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,123评论 1 267
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,641评论 2 362
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,728评论 2 351

推荐阅读更多精彩内容

  • 什么是跨域请求以及实现跨域的方案
    前言:对于跨域请求,很早之前就有去了解过,但因为一直关注的都是服务器后端开发,故也就仅仅停留在概念的理解上而没有机...
    ken_ljq阅读 89,743评论 6 128
  • 跨域问题汇总
    跨域问题的场景和解决方案多种多样,只要是做前端开发,总会遇到。而且面试时也是必问的问题。所以自己学习总结记录一下。...
    花开_陈凤娟阅读 734评论 0 0
  • 跨域
    什么是同源策略 浏览器出于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能...
    ezrealor阅读 488评论 0 1
  • 跨域
    一、浏览器的同源策略 1.什么是同源? 所谓“同源”指的是”三个相同“。相同的域名、端口和协议,这三个相同的话就视...
    徐国军_plus阅读 838评论 1 3
  • Python 文件和目录的操作
    操作文件和目录的函数一部分放在os模块中,一部分放在os.path模块中,这一点要注意一下。查看、创建和删除目录可...
    SateZheng阅读 315评论 0 0