同源策略及jsonp实现跨域

最新推荐文章于 2023-08-29 20:18:45 发布
原创 最新推荐文章于 2023-08-29 20:18:45 发布 · 205 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jquery #ajax #php

1、浏览器的同源策略

同源策略/**SOP(Same origin policy)**是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSRF等攻击。
所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。

http://www.example.com/detail.html
https://www.example.com/detail.html 协议不同
http://api.example.com/detail.html 域名不同
http://www.example.com:8080/detail.html 端口不同

2、跨域解决方案

  • jsonp
  • document.domain + iframe 跨域
    此方案仅限主域相同,子域不同的跨域应用场景。
  • nginx 代理跨域
  • nodejs 中间件代理跨域
  • 后端在头部信息里面设置安全域名

3、jsonp实现跨域的原理

function foo(data){
  console.log(data);
}

var script = document.createElement("script");
script.src = 'http://localhost:8080/hello.php?callback=foo&username=zhangsan&password=123';
var head = document.getElementsByTagName("head")[0];
head.appendChild(script);
  • jsonp从本质上讲,是通过动态创建script标签,然后通过src属性发送跨域请求,服务器端响应数据格式为【函数调用】。

4、利用jQuery实现跨域

主要属性设置:

  • dataType
    必须为jsonp
  • jsonp
    jsonp属性用于设置自定义参数名,即callback=abc中的callback,后端会根据jsonp属性的值获取方法名,jquery默认是callback
  • jsonpCallback
    用于自定义回调函数名,即callback=abc中的abc
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>jQuery中jsonp的使用</title>
    <script src="./jquery-1.12.4.js"></script>
    <script type="text/javascript">

        $(function (){
            $("#btn").click(function (){
                $.ajax({
                    type: 'get',
                    url: 'http://localhost:8080/jsonp.php',
                    dataType: 'jsonp',
                    jsonp: 'cb', //jsonp属性用于自定义参数名,即callback=abc中的callback,后端会根据jsonp属性的值获取方法名,jquery默认是callback
                    jsonpCallback: 'abc', //jsonpCallback属性用于自定义回调函数名,即callback=abc中的abc
                    success: function (data){
                        console.log(data);
                    },
                    error: function (){
                        console.log("error");
                    }
                });
            });
        })

    </script>
</head>
<body>
<input type="button" value="点击" id="btn" />
</body>
</html>

后端:

<?php

	$cb = $_GET['cb'];
	$arr = array("username"=>"张三", "password"=>"123");
    echo $cb.'('.json_encode($arr).')';

?>

5、模仿jQuery实现跨域


function ajax(obj){
    var defaults = {
      type: 'get',
      async: true,
      url: '#',
      dataType: 'text',
      jsonp: 'callback',
      data: {},
      success: function (data){
          console.log(data);
      }
    };

    for (var objKey in obj) {
        defaults[objKey] = obj[objKey];
    }

    if (defaults.dataType == 'jsonp'){
        ajax4Jsonp(defaults);
    } else {
        ajax4Json(defaults);
    }

}

function ajax4Jsonp(defaults){
    //  回调函数名称
    //  jQuery中的默认函数名为:expando: "jQuery" + ( version + Math.random() ).replace( /\D/g, "" ),
    var version = "1.12.4";
    var callbackName = "jQuery" + ( version + Math.random() ).replace( /\D/g, "" ) + "_" + (new Date().getTime());
    //  如果传递了回调函数名称
    if (defaults.jsonpCallback){
        callbackName = defaults.jsonpCallback;
    }

    //  定义回调函数,由服务器响应内容来调用,向window中添加方法
    window[callbackName] = function (data){
        //  调用success方法
        defaults.success(data);
    };

    //  入参的处理
    var param = '';
    for (var attr in defaults.data){
        param += '&' + attr + "=" + defaults.data[attr];
    }

    //  动态创建script标签
    var script = document.createElement("script");
    script.src = defaults.url + "?" + defaults.jsonp + "=" + callbackName + param;
    var head = document.getElementsByTagName("head")[0];
    head.appendChild(script);
}

function ajax4Json(defaults){
    //  创建XMLHttpRequest对象
    var xhr = null;
    if (window.XMLHttpRequest){
        xhr = new XMLHttpRequest();
    } else {
        xhr = new ActiveXObject("Microsoft.XMLHTTP");
    }

    //  处理get请求参数
    var param = null;
    if (defaults.type == "get"){
        for (var deKey in defaults.data) {
            param += "&" + deKey + "=" + defaults.data[deKey];
        }
        defaults.url += "?" + param;
    }

    // 准备发送
    xhr.open(defaults.type, defaults.url, defaults.async);

    //  处理post请求参数
    if (defaults.type == "post"){
        param = defaults.data;
        xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    }

    //  执行发送
    if (param){
        xhr.send(param);
    } else {
        xhr.send(null);
    }

    //  处理异步和同步
    if (!defaults.async) {
        //  如果是同步
        if (defaults.dataType == "json"){
            return JSON.parse(xhr.responseText);
        } else {
            return xhr.responseText;
        }
    }

    //  如果是异步
    xhr.onreadystatechange = function (){
        if (xhr.readyState == 400){
            if (xhr.status == 200){
                var response = xhr.responseText;
                if (defaults.dataType == "json"){
                    defaults.success(JSON.parse(response));
                } else {
                    defaults.success(response);
                }
            }
        }
    };
}

测试:

        // ajax({
        //     type:'get',
        //     // url:'http://localhost:8080/jsonp.php',
        //     dataType:'json',
        //     success:function(data){
        //         console.log(data.username,data.password);
        //     }
        // });

        ajax({
            type:'get',
            url:'http://localhost:8080/jsonp.php',
            dataType:'jsonp',
            data:{username:'zhangsan',password:'123'},
            jsonp:'cb',
            jsonpCallback:'abc',
            success:function(data){
                console.log(data.username,data.password);
            }
        });
《web开发: Ajax 同源策略JSONP
yexiang优快云的专栏
02-04 245
一、同源策略JSONP 1.什么是同源 如果两个页面的协议名和端口都相同,则两个页面具有相同的源 例如,下表给出了相对于 http://www.test.com/index.html 页面的同源检测:(端口号不写默认是80) 2. 什么是同源策略 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能 MDN 官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制 通..
使用jsonp实现获取数据实例讲解
11-27
因为`<script>`标签不受同源策略的约束,所以可以通过动态创建`<script>`标签并设置其`src`属性为服务器返回的JavaScript代码的URL,从而实现数据的传递。 3. 实现步骤: - **挂载回调函数**:在JavaScript中...
同源策略 Jsonp
avz72927的博客
01-08 129
同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 何为同源:   协议名,端口都相同   如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。 Jsonp...
同源策略jsonp
Passerby的博客
01-17 307
今天看到了同源策略,自己百度了一下,简单的进行了一些了解和大家分享一下: 同源策略      它是由Netscape提出的一个著名的安全策略,现在所有支持JavaScript 的浏览器都会使用这个策略。      实际上,这种策略只是一个规范,并不是强制要求,各大厂商的浏览器只是针对同源策略的一种实现。它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到
同源策略jsonp
瞬间空白的博客
09-21 360
同源是指两个站点同协议,同端口,同名。 同源策略规定:不同的客户端脚本在没有明确授权的情况下,不能读写对方资源。 但是,在数据传输过程中,经常会发生的数据交换,那么如何解决这个问题呢。。就利用到了一些支持传输的标签(比如、等)    既然他可以传输,那么如果引用的"www.pp.com/alert.js"中有   test();   kuayu(); 那么,它执
同源策略JSONP
weixin_60323200的博客
09-30 163
URL 协议://名:端口号/文件名?参数#锚点 什么是同源策略同源策略是指“协议+名+端口”三者相同,即便两个不同的名指向同一个ip地址,也非同源。同源策略是一种约定,为了安全,确保一个应用中的资源只能被本应用的资源访问。 什么是JSONPJsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的名(网站)那获取资料,即读取数据。 ...
jQuery使用JSONP实现获取数据的三种方法详解
10-19
本文将详细介绍使用jQuery实现JSONP获取数据的三种方法。 ### 第一种方法:$.ajax()函数 $.ajax()jQuery中最为通用的Ajax实现方式。要使用JSONP方法,我们需要在$.ajax()函数中设置`dataType`为'jsonp'。...
访问禁止以及使用JSONP实现的示例
03-08
JSONP是一种绕过同源策略的方法,其原理是利用`<script>`标签可以加载资源的特性。JSONP的工作流程如下: 1. 客户端(浏览器)创建一个`<script>`元素,并设置其`src`属性为服务端的URL,该URL通常包含一个回调...
JSONP数据请求解决方案项目_极简说明为通过动态创建script标签绕过浏览器同源策略限制实现数据交互的轻量级技术方案_内容关键词包括JSONP工作原理同源策略限制.zip
最新发布
10-05
此外,JSONP请求会受到一定的安全限制,例如服务端需要保证返回的数据是安全的,因为返回的数据会直接在客户端执行。 为了更好地实现数据交互,开发者需要对JSONP的工作原理有清晰的理解,并合理地利用...
同源策略以及JSONP
c_perfectworld的博客
02-17 516
同源 如果两个页面的协议名和端口都相同,则两个页面具有相同的源 同源策略 是浏览器提供的一个安全功能 限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制 浏览器规定,A网站的JavaScript,不允许和非同源的网站C之间进行资源交互 无法读取非同源网页的Cookie、localStorage和IndexedDB 无法接触非同源网页的DOM 无法向非同源地址发送Ajax请求 协议名和端口有一项不同,则是 出现..
同源策略Jsonp
aaronthon的博客
07-12 218
同源策略Jsonp 同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现同源策略,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript 的浏览器都会使用这个策略。所...
JSONP称为同源策略
m0_68293816的博客
04-16 176
浏览器为了安全性考虑 拒绝访问不同源的内容 这个称为同源策略
JSONP同源策略
Clytza的博客
03-08 305
同源策略SOP(Same Origin Policy),它是由Netscape提出的一个著名的安全策略。所谓同源是指名、协议端口相同。指的是浏览器限制当前网页只能访问同源的接口资,禁止页面加载或执行与自身来源不同的的任何脚本。用于保护数据安全,防止浏览器受到XSS、CSFR等攻击。
JSONP同源策略
巫山♔
04-01 221
JSONP JSONP(JSON with Padding)是JSON的一种“使用模式”,可用于解决主流浏览器的数据访问的问题同源策略 同源策略,它是由Netscape提出的一个著名的安全策略。 当一个浏览器的两个tab页中分别打开来百度和谷歌的页面,当浏览器的百度tab页执行一个脚本的时候,会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。 ...
同源策略解决方案——JSONP、CORS、代理(vue-cli脚手架搭建代理服务器)
m0_55734628的博客
08-29 3412
在简单请求中,只要满足简单请求的要求,一般情况下,是不怎么需要服务端去进行配置的,除了Access-Control-Allow-Origin这个字段是必备的OPTIONS请求作为预检请求,就算请求方法没有在Access-Control-Allow-Methods规定范围内也不会出现错误,但是我们不能自己发送OPTIONS请求CORS设置涉及到后端和前端的配合。后端通过设置响应头来允许特定的请求,而前端则需要确保请求头中包含适当的信息。这样可以保障安全地进行资源访问参考文档:MDN。
jsonp实现访问
仲权的专栏
11-08 2390
实现JSONP访问,首先就要了解什么是?然后JSONP与JSON的关系? 1、什么是简单的说就是一个名下的程序和另一个名下的程序做数据交互。比如说:现有一个http://www.zq.com和http://www.qt.com两个独立的网站,要实现从后一个网站向前一个网站中取数据。把做为数据来源的当作服务端,把去获取数据的当作客户端,实现面向服务的编程。 在
同源策略JSONP(含实践)
qq_41548644的博客
07-12 243
JSONP 在过去是服务器与客户端通信的常用方法,接下来简述做法,并使用 Node 进行演示。 做法 第一步 网页添加一个 <script> 元素,向服务器请求一个脚本,这不受同源政策限制,可以请求。 <script src="http://localhost:8082/jsonpTest?callback=getJsonpData"></script> 注意,请求脚本网址有一个 callback 参数(?callback=getJsonpData),用来告.
同源策略JSONP
weixin_38830839的博客
05-14 919
同源策略 同源策略简述     首先来说说同源策略是什么和为什么要使用同源策略. 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。 可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现同源策略,它是由Netscape提出的一个著名的安全策略。     具体来说同源策略...
JSONP 是如何实现的?
fe_watermelon的博客
05-28 2553
大家好,我是前端西瓜哥。今天讲 JSONPJSONP,是 JSON with Padding 的缩写,字面上的意思就是 “填充 JSON”。JSONP解决请求的一种方案,我们先了解下请求是什么。浏览器在发送 Ajax/fetch 请求时,会触发浏览器的同源策略,导致请求失败。只要协议名、端口有一个不同,那浏览器就会认为是。比如你在 a.com 下通过 Ajax 请求 b.com/api/book,默认情况下就被浏览器拦截,导致无法获得返回数据。具体的知识点,可以看我的这篇文
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值