AJAX——同源策略、JSONP、CORS

最新推荐文章于 2024-01-03 15:08:06 发布
最新推荐文章于 2024-01-03 15:08:06 发布
阅读量241 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: node.js es6 javascript 文章标签: ajax javascript node.js jsonp cors
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/h_jQuery/article/details/120395709

AJAX

同源策略

同源策略(Same-Origin Pollicy)是浏览器的一种安全策略

同源:协议、域名、端口号必须完全相同

ajax默认是遵从同源策略,违背同源策略就是跨域

页面

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>

<body>
    <h3>跨域</h3>
    <button>点击获取用户数据</button>
    <script>
        const btn = document.querySelector('button');
        btn.onclick = function() {
            const xhr = new XMLHttpRequest();
            // 这个index.html页面是通过访问服务器然后打开的,所以满足同源
            // 如果满足同源策略,url可以简写
            xhr.open('GET', '/data');
            xhr.send();
            xhr.onreadystatechange = function() {
                if (xhr.readyState === 4) {
                    if (xhr.status >= 200 && xhr.status < 300) {
                        console.log(xhr.response); //用户数据
                    }
                }
            }
        }
    </script>
</body>

</html>

接口

// 跨域
const express = require('express');
const app = express();
app.get('/home', (req, res) => {
    // 访问这个接口,打开index.html页面
    res.sendFile(__dirname + '/index.html');
});
app.get('/data', (req, res) => {
    res.send('用户数据');
});
app.listen(8004, () => {
    // http://localhost:8004/home
    console.log('8004 的服务器已启动');
})
如何解决跨域?
1.JSONP

JSONP(JSON with Padding),是一个非官方的跨域解决方案,纯粹凭借程序员的聪明才智开发出来的饿,只支持get请求

JSONP是利用script标签的跨域能力来发送请求的,只支持get请求

具有跨域能力的标签:img\link\iframe\script

JSONP的使用

原理

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>jsonp原理演示</title>
    <style>
        #box {
            width: 200px;
            height: 200px;
            border: 1px solid chocolate;
            border-radius: 5px;
        }
    </style>
</head>

<body>
    <div id="box"></div>
    <!-- script标签具有跨域能力 -->
    <!-- 先加载了handler函数 -->
    <script>
        function handler(res) {
            const box = document.getElementById('box');
            box.innerHTML = res.name;
        }
    </script>
    <!-- <script src="./app.js"></script>
     -->
    <!-- 然后再请求后台获取数据 -->
    <script src="http://localhost:8004/jsonp"></script>
</body>

</html>

app.js

const data = {
    name: 'zs'
};
// console.log(data);
// function handler(res) {
//     const box = document.getElementById('box');
//     box.innerHTML = res.name;
// }
handler(data)

接口

app.get('/jsonp', (req, res) => {
    // res.send('console.log("jsonp原理")');
    const data = {
        name: 'zs'
    };
    // 将数据转化为字符串
    let str = JSON.stringify(data);
    // 处理返回的数据
    // 返回的结果是函数的调用,函数的参数就是要传递过去的数据
    res.send(`handler(${str})`);
});
CORS

cors(Cross-Origin Resource Sharing,跨域资源共享),cors是官方的跨域解决方案,它的特点是不需要在客户端做任何特殊的操作,完全在服务器中进行处理,支持get和post请求,跨域资源共享标准新增了一组HTTP的首部字段,允许服务器声明哪些源站通过浏览器有权限访问那些资源

CORS是通过设置一个响应头来告诉浏览器,该请求允许跨域,浏览器收到该响应以后就会对响应放行

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
    <style>
        #box {
            width: 200px;
            height: 200px;
            border: 1px solid firebrick;
            border-radius: 5px;
        }
    </style>
</head>

<body>
    <button>发送请求</button>
    <div id="box"></div>
    <script>
        const btn = document.querySelector('button');
        btn.onclick = function() {
            const xhr = new XMLHttpRequest();
            xhr.open('GET', 'http://localhost:8004/cors');
            xhr.send();
            xhr.onreadystatechange = function() {
                if (xhr.readyState === 4) {
                    if (xhr.status >= 200 && xhr.status < 300) {
                        console.log(xhr.response);
                    }
                }
            }
        }
    </script>
</body>

</html>

接口

app.all('/cors', (req, res) => {
    // 设置响应头,允许所有的网页跨域
    res.setHeader('Access-Control-Allow-Origin', '*');
    // 可自定义头信息
    res.setHeader('Access-Control-Allow-Headers', '*');
    // 哪个请求方式都可以
    res.setHeader('Access-Control-Allow-Method', '*');

    // 只允许http://127.0.0.1:5500这个访问跨域
    // res.setHeader('Access-Control-Allow-Origin', 'http://127.0.0.1:5500');
    res.send('cors');
})
同源策略——CORSJSONP劫持漏洞
m0_61506558的博客
11-03 923
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。如果两个URL拥有相同的协议(http、https)、端口和主机,那么这两个URL就是同源的。JSONP(JSON with Padding) 是 json 的一种”使用模式”,可以让网页从别的域名(网站)那获取资料,即跨域读取数据。JSONP实现跨域请求的原理简单的说,就是动态创建标签,然后利用的 src不受。
一文了解JSONPCORS同源策略jsonp劫持、referer绕过、CORS跨域资源共享、CORS 跨域漏洞、信任子域
最新发布
代码讲故事
01-29 249
一文了解JSONPCORS同源策略jsonp劫持、referer绕过、CORS跨域资源共享、CORS 跨域漏洞、信任子域。
Ajax同源策略以及实现跨域
鸭绒的博客
04-19 1189
本文通过设置Access-Control-Allow-Origin来实现跨域。 例如:客户端的域名是client.runoob.com,而请求的域名是server.runoob.com。 如果直接使用ajax访问,会有以下错误 : XMLHttpRequest cannot load http://server.runoob.com/server.php. No 'Access-Control-A...
ajax同源策略
m0_37666988的博客
04-15 361
1.同源策略: 源(origin)就是协议、域名和端口号。 .2什么是同源策略同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以a.com下的js脚本采用ajax读取b.com里面的文件数据是会报错的。 3.什么浏览器要限制跨域? 原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。比如...
AJAX同源策略
weixin_50119334的博客
10-27 261
同源策略 同源策略是浏览器的一种安全策略。 同源:协议、域名、端口号,必须完全相同 违背同源策略就是跨域 如何解决跨域 JSONP方法 JSONP ,是一个非官方的跨域解决方案,只支持 get 请求。 JSONP就是利用script标签的跨域能力来发送请求的 ...
ajax-同源策略
shape_one的博客
01-03 798
同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能MDN官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制通俗的理解:浏览器规定,A 网站的 JavaScript,不允许和非同源的网站 C 之间,进行资源的交互,例如:① 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB② 无法接触非同源网页的 DOM③ 无法向非同源地址发送 Ajax 请求同源。
AJAX同源策略
m0_51144154的博客
11-23 348
AJAX同源策略 1). server.js //引入express框架 const express = require('express'); //创建express对象 const app = express(); //创建路由规则 app.get('/home', (request, response) => { //响应一个页面,这样会获取index.html中的数据 response.sendFile(__dirname + '/index.html'); })
同源策略cors跨域及jsonp劫持
j1044957016的博客
05-31 984
文章目录前言一、同源策略二、Ajax技术三、CORS跨域1.简单请求2.非简单请求3.漏洞成因及修复四、jsonp劫持总结 前言 本文整理同源策略Ajaxcors跨域及jsonp劫持 一、同源策略 同源策略(Same Origin Policy):该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。(防止内部资源被外部页面脚本读取或篡改) 浏览器的同源策略规定: 不同域的客户端脚本在没有
Ajax】HTTP相关问题-GET-POST-XHR使用-jQuery中的ajax-跨域-同源-jsonp-cors
热门推荐
YK菌的博客
02-23 3万+
文章目录1. Ajax概述1.1 AJAX 简介1.2 XML 简介1.3 AJAX 的特点1.3.1 AJAX 的优点1.3.2 AJAX 的缺点2. 原生AJAX 的基本使用2.0 准备工作2.1 核心对象2.2 使用步骤2.3 使用案例1. GET 请求设置请求参数2. POST请求2.4 解决IE 缓存问题2.5 AJAX 请求状态3. jQuery 中的AJAX3.1 get 请求3.2 post 请求4. 跨域4.1 同源策略4.2 如何解决跨域4.2.1 JSONP4.2.2 CORS 1.
AJAX ------ 同源策略
HuoZhiyan 的博客
02-24 941
同源策略:协议、域名、端口号必须完全相同。违背同源策略就是跨域。 注意:端口号为 9000 创建 index.html 文件 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" con.
Ajax——同源策略
weixin_53052268的博客
08-16 283
a:同源策略(Same-Origin Policy)最早由 Netscape 公司提出,是浏览器的一种安全策略。5.在以上的代码中遵循的是同源策略,在127.0.0.1页面请求127.0.0.1的文件index.html。b:同源:协议、域名、端口号 必须完全相同。dirname命令用于显示文件或目录路径。e:a.com-->b.com就是跨域。2.代码展示(index.html)d:Ajax默认遵循同源策略。_dirname表示绝对路径。c:违背同源策略就是跨域。...
AJAX-同源策略及其相关的知识
code^_^熊的博客
01-16 169
1.同源策略相关介绍   同源策略是 Netscape公司提出的,是游览器的一种安全策略。 2.“同源”的含义   协议、域名、端口三者必须都完全相同 3.跨域的含义   违背同源策略就是跨域。
Ajax-同源策略(跨域问题)
xpmhhh的博客
03-20 2112
同源策略:是浏览器的一种安全策略。 同源:协议,域名,端口号必须完全相同。 当前网页资源的url与ajax请求的服务器目标资源的url必须三者保持一致,才满足同源策略ajax默认是遵循同源策略的,不遵循是不能直接发送ajax请求的。 违背同源策略就是跨域。 有时候需要多个服务器提供服务,就需要解决跨域问题。 如何解决跨域? 方案一:JSONP(只支持get请求)原生跨域解决方案 全称JSON with padding,一个非官方的跨域解决方案。 原理:网页中有些标签本身就具备跨域能力,
Ajax同源策略、跨域和JSONP
早睡早起长头发的博客
01-23 1435
同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。MDN 官方给定的概念:同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。通俗的理解:浏览器规定,A 网站的 JavaScript,不允许和非同源的网站 C 之间,进行资源的交互,例如:无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB无法接触非同源网页的 DOM。
ajax跨域以及同源策略
qq_37432174的博客
07-16 656
一、同源策略 在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的<script>、图片的<img>、前端框架<iframe>、css的外部样式<link>等,可以发现这些不受同源策略的限制可以加载...
AJAX - 同源策略&跨域
vip77778888的博客
01-12 242
同源策略 什么是同源策略 同源指的是两个 URL 地址具有相同的协议、主机名、端口号。 同源策略(英文全称 Same origin policy)是浏览器提供的一个安全功能。 浏览器的同源策略规定:不允许非同源的 URL 之间进行资源的交互 同源指的是两个 URL 的协议,主机名,端口号完全一致,反之,则是跨域。 浏览器对跨域请求的拦截过程 浏览器允许发起跨域请求。但跨域请求回来的数据,会被浏览器拦截,无法被页面获取到 跨域限制 突破浏览器跨域限制的三种方案 1....
Ajax-18:同源策略
Always-Learning
03-14 277
什么是同源策略同源策略是浏览器的一种安全策略。同源指的是协议、域名、端口号必须完全相同,违背同源策略就是跨域。 同源下访问URL可以简写 const btn = document.querySelector('button'); btn.onclick = function() { const xhr = new XMLHttpRequest(); // 因为满足同源策略,所以url路径可以简写 xhr.open('GET','/data'); xhr.send();
Ajax学习:同源策略(与跨域相关)ajax默认遵循同源策略
weixin_47295886的博客
12-02 430
使用url与服务器响应信息(是同源的),再网页中button发送是ajax请求(由于当前网页与按钮访问的协议 域名端口都一致 满足同源策略 所以可以省略url部分)目标请求:协议http 域名 a.com 端口号8000。比如:当前网页:协议http 域名 a.com 端口号8000。http---->https发请求是跨域。当前网页的url和ajax请求的目标资源的url必须。800--->799发请求是跨域。如果 a.com -->b.com发请求是跨域。同源意味着:协议、域名、端口号必须相同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值