js跨域

最新推荐文章于 2025-08-09 20:51:19 发布
最新推荐文章于 2025-08-09 20:51:19 发布
阅读量548 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: javascript 文章标签: javascript js跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/NowUSeeMe/article/details/54847919
本文详细介绍了JavaScript在不同域间进行数据传输的原理及方法,包括同源策略的概念、JSONP跨域实现方式,并探讨了如何利用window.name和修改document.domain来实现跨子域访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

定义

JS在不同的域之间进行数据传输或通信,比如用ajax向一个不同的域请求数据,或者通过js获取页面中不同域的框架中(iframe)的数据。只要协议、域名、端口有任何一个不同,都被当作是不同的域。
下表给出了相对http://store.company.com/dir/page.html同源检测的结果:

URL结果原因
http://store.company.com/dir2/other.html成功
http://store.company.com/dir/inner/another.html成功
https://store.company.com/dir/inner/secure.html失败协议头不同(https与http)
http://store.company.com:8080/dir/page.html失败端口不同
http://news.company.com/dir/page.html失败主机名不一样

原理

A上的页面获取B上的资源,浏览器会检查服务器B的HTTP头(HEAD请求),如果Access-Control-Allow-Origin中有A,或者是通配符*,浏览器就会允许跨域。
域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。 有一种简明的说法来解释广域跨域:跨域访问,简单来说就是 A 网站的 javascript 代码试图访问 B 网站,包括提交内容和获取内容。由于安全原因,跨域访问是被各大浏览器所默认禁止的。
在广域网环境中,由于浏览器的安全限制,网络连接的跨域访问时不被允许的,XmlHttpRequest也不例外。但有时候跨域访问资源是必需的。
同源策略阻止从一个域上加载的脚本获取或操作另一个域上的文档属性。也就是说,受到请求的 URL 的域必须与当前 Web 页面的域相同。这意味着浏览器隔离来自不同源的内容,以防止它们之间的操作。同源策略不阻止将动态脚本元素插入文档中。

解决方法

理论

参考理论一

在浏览器中不能直接来跨域访问,而在服务器端没有跨域安全限制。
这样的话,可以在服务端完成跨域访问,而在客户端来取得结果就可以了。

参考理论二

同源策略不阻止动态脚本元素插入,脚本访问可以跨域。

jsonp跨域

js实现

@RequestMapping(value="/mytry",method={RequestMethod.POST,RequestMethod.GET})
    public void mytry(@RequestParam(value="callback")String callback, HttpServletRequest request, HttpServletResponse response) throws IOException{
        String str = "<script>"+callback+"('abc')</script>";
        PrintWriter out = response.getWriter();
        response.setHeader("content-type", "text/html;charset=UTF-8");//通过设置响应头控制浏览器以UTF-8的编码显示数据,如果不加这句话,那么浏览器显示的将是乱码
        System.out.println(str);
        out.print(str);
    }

jquery实现(比较方便快捷)

java后台代码:

@RequestMapping(value="/mytry",method={RequestMethod.POST,RequestMethod.GET})
    public void mytry3(HttpServletRequest request, HttpServletResponse response) throws IOException{
        String callback =request.getParameter("callback");//jquery生成的自定义函数名 
        response.setCharacterEncoding("UTF-8"); 
        response.setContentType("text/html;charset=utf-8"); 
        PrintWriter out = response.getWriter(); 
        //返回json格式字符串,注意向前台输出的格式必须为 callback(json格式的字符串); 
        //callback是jquery生成的自定义函数名,返回这种格式,前台jquery代码会自动替换 
        //回调函数为此callback函数,从而达到跨域的效果,网上还有其他的跨域方案如:AJAJ 
        //原理应该也是和此方法一样。缺点是:返回数据量不宜过大,安全性差,建议重要数据不 
        //要通过这种形式传递。 
        out.print(callback+"({name:'nowuseeme',gender:'man'});"); 
        out.flush(); 
        out.close(); 
    }

jquery代码:

$(function(){
    var url = "http://127.0.0.1:8080/myproject/mytry?callback=?"; 
    $.getJSON(url,function(data, status, xhr){
        console.log(data.name);
    });
});

浏览器控制台打印结果:

nowuseeme

使用window.name跨域

修改document.domain来跨子域

参考

http://www.cnblogs.com/rainman/archive/2011/02/20/1959325.html
http://www.cnblogs.com/2050/p/3191744.html

JavaScript “顽疾”:多种场景下的巧妙突破之法
威哥说编程
11-17 1066
http://与https://不同)名相同端口号相同如果任一条件不相同,则会被视为请求。2. 常见的场景2.1. 通过 Ajax 或 Fetch 发起请求当我们通过或Fetch向不同源发起请求时,浏览器会因为同源策略而阻止请求。2.2.嵌入页面如果你使用嵌入了一个的页面,你的 JavaScript 代码无法直接访问 iframe 中的 DOM。2.3. Cookie请求可能会涉及到 cookies 的传递。
pdf.js 版本
04-16
问题通常在 JavaScript 中是个常见的安全限制,浏览器不允许脚本从一个源(名、协议或端口)请求另一个源的资源,以防止恶意网站通过脚本读取其他网站的数据。在 PDF.js 原版中,如果 PDF 文件存储在与网页...
js请求
小码哥
10-24 2883
什么是? 定义: 是指从一个名的网页去请求另一个名的网页的资源,比如从www.baidu.com去请求www.google.com的资源,但是一般情况下不能这样做,这是由浏览器同源策略造成的,是浏览器对js施加的安全限制,的严格定义一点是,只要协议、名、端口有任何一个的不同,就被当成是 所谓同源是指名、协议、端口 均相同,这里说的JS是指JS在不同的之间进行数据传输或者通信,比如用ajax向一个不同的请求数据、或者通过js获取页面中不同的框架中(iframe)的数据 概
JavaScript 传输数据
weixin_62604823的博客
07-20 334
js之间的通信
js的解决方案
热门推荐
muzidigbig的博客
05-15 1万+
指的是浏览器不能执行其他网站的脚本,简单来说是浏览器同源政策的限制,浏览器针对于的限制。两个页面拥有相同的协议,端口,名就是同源,如果有一个不相同就是不同源。保护用户,防止一些网站盗取用户信息。 1、通过jsonp 2、资源共享(CORS) 3、document.domain + iframe 4、location.hash + iframe 5、window.name + iframe 6、postMessage 7、nginx代理 8、nodejs中间件代理(非vue、v
JS 问题
FireCode的博客
04-11 2728
官方文档介绍 一、简介 :指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript 施加的安全限制。 同源策略:是指协议,名,端口都要相同,其中有一个不同都会产生;   源资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME(媒体类型)类型 的 POST 请求),浏览器必须首先使
js下载图片
m0_38038767的博客
12-10 7442
有一个常见的需求,就是下载图片。 以以往的经验,使用了a标签的方式进行了下载。如下 <button @click="downloadPic">下载</button> donloadPic () { let url = 'http://a.b.com/test.png' let a = document.createElement('a') a.src = url a.download = 'download.' + url.slice(url.lastIndexOf('.'
JavaScript问题的解决之道
weixin_29903713的博客
07-01 870
同源策略(Same-Origin Policy)是Web浏览器的一项安全机制,用于限制一个源(Origin)加载或操作另一个源的文档或脚本。源被定义为协议、名和端口号的组合。例如,协议、名(包括子名)和端口完全相同的两个URL被认为同源。此策略确保了用户信息的安全,防止恶意脚本窃取数据或造成其他安全问题。在解决问题的过程中,实际案例的分析与经验分享对于理解问题的本质以及寻找解决方案至关重要。这里,我们将探讨一个真实的案例,并从中提炼出解决问题的最佳实践。
JS 与同源
猫老板的豆
06-05 1224
jsonp jsonp是一种通信的手段,它的原理其实很简单: 利用<script>标签的src属性 由于使用script标签的src属性,因此只支持get方法 function jsonp(req){ // 动态创建script标签 var script = document.createElement('script'); var url = req.url + '?callback=' + req.callback.name; script.src =
js的八种方式
qq_43383334的博客
10-18 559
1. JSONP JSONP 是一种利用 unction jsonp(url, callback) { const script = document.createElement('script'); script.src = `${url}&callback=${callback}`; document.body.appendChild(script); window[callback] = function(data) { document.body.removeChil
js访问的超简单方法
lihuifen2011的博客
08-24 888
直接上例子 客户端js代码: <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>test</title> <script type="text/javascript" src="http://libs.baidu.com/jquery/1.11.1/jquery.min.js"></script> </head> <
js请求数据的3种常用的方法
11-24
以上就是JavaScript请求数据的三种常见方法。在实际开发中,选择哪种方法取决于项目需求、兼容性考虑以及服务器端的配合程度。对于需要复杂交互或安全性要求较高的场景,CORS可能是更好的选择;而对于简单的GET...
JS调用WCF服务实例(WCF服务宿主到控制台)
09-24
JavaScriptJS)与Windows Communication Foundation(WCF)服务之间的调用是Web开发中常见的需求,尤其是在构建分布式系统和前后端分离的应用时。本文将详细介绍如何实现JS调用WCF服务,并通过一个控制台...
深入分析Javascript问题
10-24
JavaScript中的问题源于浏览器实施的同源...总的来说,解决JavaScript问题需要根据具体需求选择合适的方法,既要考虑安全性,也要考虑兼容性和性能。在实际开发中,通常会结合使用多种策略,以达到最佳效果。
ref存储对象和reactive深度响应式递归地对对象的嵌套属性进行响应式处理
lf_1234的博客
08-06 930
摘要:ref 不会递归处理对象的嵌套属性,仅对顶层数据进行响应式处理。若需深度响应式,应使用 reactive。示例中,ref 存储的嵌套对象 profile 修改后视图不会更新,而 reactive 能确保嵌套属性(如 age)触发更新。总结:ref 适合基本类型或简单对象(需 .value),reactive 适合复杂对象(自动深度响应式)。
使用萤石云播放视频及主题模版配置
多看书少吃饭的博客
08-07 607
本文介绍了如何在H5页面中集成萤石云视频播放功能。首先需要安装ezuikit-js依赖,然后通过EZUIKitPlayer组件传入accessToken和视频URL即可实现基础播放功能。文章详细说明了两种版本(UIKIT和UIKITPRO)的区别,并提供了完整的代码示例,包括视频容器设置、自动播放配置和样式调整。此外,还介绍了如何通过template字段自定义视频主题模板,包括官方模板和自定义模板两种方式。最后提及了WEB端和H5端均可进行模板配置,为开发者提供了完整的萤石云视频接入解决方案。
数论手机辅助:打造便捷高效的移动应用交互体验
cybersnow精通 28 门计算机语言,凭借其超凡的技术能力,成功开发过上万个应用,广泛涉及政府、商业、个人等众多领域,甚至在检察院、环保局、公安局等专业场景中也大放异彩。不仅熟练掌握单片机和物联网开发,在软件架构设计方面更是独树一帜,自创了跨平台软件
08-06 1171
关键在于实现 WebView 弹窗的拖动大小功能,通过监听窗口的触摸事件,在触摸按下时记录初始的窗口大小和触摸位置,在触摸移动过程中根据触摸位置的变化计算新的窗口大小,并更新窗口的布局参数,从而实现窗口大小可随触摸操作动态改变。方法中,目前只是通过 Toast 提示接收到了要插入的文本,实际应用中可以根据需求进一步完善,比如利用 AccessibilityService 来实现真正的文本插入操作,将选中的文本模拟输入到当前聚焦的输入框中,从而实现更加智能化和便捷的交互体验。在 Android 端的。
IntelliJ IDEA 新手全方位使用指南
最新发布
hy行者勇哥的博客
08-09 748
本文面向刚接触软件开发、使用 IntelliJ IDEA 的新手,详细介绍了 IDEA 的背景、版本区别、核心功能、运行原理、界面操作、项目管理、运行配置、以及 Git 版本控制基础。文章突出实用操作和理解流程,帮助新手快速熟悉IDEA环境,顺利完成项目启动、调试和版本管理。
JS】扁平树数据转为树结构
此人太懒,没有任何简介
08-07 369
摘要:本文展示了如何将扁平数据结构转换为树形结构的JavaScript实现。通过buildTree函数,可以根据指定的ID和父ID字段将扁平数据转换为嵌套的树形结构,并可选地删除空子节点。示例代码演示了如何将包含公司部门信息的扁平数据转换为层级分明的树状结构,结果输出为JSON格式的树形数据。该工具函数适用于处理组织机构、菜单等需要层级展示的数据场景。
JS解决方案详解
JavaScript是一个复杂且重要的主题,开发者需要理解各种机制和解决方案,以便在实际项目中灵活应对。在现代Web开发中,CORS是最常用也是最推荐的解决方案,因为它提供了更安全且灵活的控制方式。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值