本文详细介绍了跨域访问的概念及其实现方法,包括JSONP、CORS、代理服务器、HTML5 postMessage、修改document.domain、WebSocket及iframe等,并讨论了各种方法的优缺点。
跨域访问是如何实现的
跨域的含义:由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域 。
1.通过jsonp实现跨域。利用了 script 不受同源策略的限制,这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制,同时资源加载到页面后会立即执行
缺点:只能 get 方式,易受到 XSS攻击
2.CORS(Cross-Origin Resource Sharing),跨域资源共享 当使用XMLHttpRequest发送请求时,如果浏览器发现违反了同源策略就会自动加上一个请求头 origin; 后端在接受到请求后确定响应后会在后端在接受到请求后确定响应后会在 Response Headers 中加入一个属性 Access-Control-Allow-Origin; 浏览器判断响应中的 Access-Control-Allow-Origin 值是否和当前的地址相同,匹配成功后才继续响应处理,否则报错 缺点:忽略 cookie,浏览器版本有一定要求
3.代理跨域请求 前端向发送请求,经过代理,请求需要的服务器资源 缺点:需要额外的代理服务器
4、Html5 postMessage 方法 允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文本、多窗口、跨域消息传递 缺点:浏览器版本要求,部分浏览器要配置放开跨域限制
5、修改 document.domain 跨子域 相同主域名下的不同子域名资源,设置 document.domain 为 相同的一级域名 缺点:同一一级域名;相同协议;相同端口
6、基于 Html5 websocket 协议 websocket 是 Html5 一种新的协议,基于该协议可以做到浏览器与服务器全双工通信,允许跨域请求 缺点:浏览器一定版本要求,服务器需要支持 websocket 协议
7、document.xxx + iframe 通过 iframe 是浏览器非同源标签,加载内容中转,传到当前页面的属性中 缺点:页面的属性值有大小限制
扫一扫
1663
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
