跨域

有以下几个问题
  1. 什么是同源策略
  2. 什么是跨域?跨域有几种实现形式
  3. JSONP 的原理是什么
  4. CORS是什么

我们先描述一个场景,小明是一个中国人,他想购买美国的商品,可是小明是用人民币的,而美国是用美元的,无法购买。怎么办呢,小明有以下几种方法打到购买的目的:

  • 找代购
  • 建立中美自由贸易
  • 用黄金购买
  • 发布求购信息,等某个美国人主动联系

这是一个浏览器跨域的比喻。

我们来回答开头的4个问题。

1: 什么是同源策略

浏览器出于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。

本域要同时满足以下条件:

  • 同协议:如都是http或者https
  • 同域名:如都是http://jirengu.com/ahttp://jirengu.com/b
  • 同端口:如都是80端口

对应上面场景里的情况就是,要使用同种货币才能购买,比如小明可以在国内用人民币购买商品,因为国内是用人民币交易的。

2: 什么是跨域?跨域有几种实现形式

跨域就是不同域下的接口交互。(相当于中国的小明想购买美国的商品。)

跨域的实现形式有

  • jsonp (相当于找代购)
  • cors (相当于建立中美自由贸易)
  • 降域 (相当于用黄金购买)
  • postMessage (相当于发布求购信息,等某个美国人主动联系)

3: JSONP 的原理是什么

Web页面上调用js文件时不受跨域的影响(不仅如此,我们还发现凡是拥有”src”这个属性的标签都拥有跨域的能力,比如<script>、<img>、<iframe>);

jsonp就是利用了<script src="xxxx"> </script>这个标签不受跨域影响。
(<script> 相当于代购)

话不多说,直接上代码解释,看注释:

前端代码

<script>
  
  $('.change').addEventListener('click', function(){ //给元素绑定事件
    var script = document.createElement('script');  //点击事件后,创造一个script元素
    script.src = 'http://127.0.0.1/getNews?callback=appendHtml'; 
        /*设置script元素的src属性,?前面的是协议,域名,接口。
          ?后面是用户传递的一个callback参数
        */
    document.head.appendChild(script);   //把script元素添加到页面上
  })
  function appendHtml(news){      // 声明包裹数据的函数
    var html = '';
    for( var i=0; i<news.length; i++){
      html += '<li>' + news[i] + '</li>';
    }
    console.log(html);
    $('.news').innerHTML = html;
  }
  function $(id){
    return document.querySelector(id);
  }
</script>

后端router.js

app.get('/getNews', function(req, res) {

    var news = [
        "第11日前瞻:中国冲击4金 博尔特再战200米羽球",
        "正直播柴飚/洪炜出战 男双力争会师决赛",
        "女排将死磕巴西!郎平安排男陪练模仿对方核心",
        "没有中国选手和巨星的110米栏 我们还看吗?",
        "中英上演奥运金牌大战",
        "博彩赔率挺中国夺回第二纽约时报:中国因对手服禁药而丢失的奖牌最多",
        "最“出柜”奥运?同性之爱闪耀里约",
        "下跪拜谢与洪荒之力一样 都是真情流露"
    ]
    var data = [];
    for (var i = 0; i < 3; i++) {
        var index = parseInt(Math.random() * news.length);
        data.push(news[index]);
        news.splice(index, 1);
    }

    var cb = req.query.callback;    //获取callback参数内的值
    if (cb) {
        res.send(cb + '(' + JSON.stringify(data) + ')');
        //如果callback参数的值存在,就用它做函数名包裹数据,再发送
    } else {
        res.send(data);
        //如果没有callback参数,数据就直接发送
    }
})

jsonp就是获取一段代码,用js去执行,
前端向后端发送一个参数,后端用这个参数封装数据,发回来,前端再执行

jsonp需要前后端配合,后端同意才能跨域,没有安全问题

4: CORS是什么

CORS:全称为 Cross Origin Resource Sharing,跨域资源共享,是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。

CORS的实现方式是,在后端的响应头添加一个
Access-Control-Allow-Origin 属性,属性的值是允许的域名。它的好处是前端的请求就是ajax,不需要修改,只要后端开访问权限即可,很方便。

代码实例

<!DOCTYPE html>
<html>

<head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <title>news</title>
    <style>
        .container {
            width: 900px;
            margin: 0 auto;
        }
    </style>
</head>

<body>
    <div class="container">
        <ul class="news">
            <li>第11日前瞻:中国冲击4金 博尔特再战</li>
            <li>男双力争会师决赛 </li>
            <li>女排将死磕巴西!</li>
        </ul>
        <button class="change">换一组</button>
    </div>
    <script>
        $('.change').addEventListener('click', function() {
            var xhr = new XMLHttpRequest();
            xhr.open('get', 'http://b.jrg.com:8080/getNews', true);
            xhr.send();
            xhr.onreadystatechange = function() {
                if (xhr.readyState === 4 && xhr.status === 200) {
                    appendHtml(JSON.parse(xhr.responseText))
                }
            }
            window.xhr = xhr
        })

        function appendHtml(news) {
            var html = '';
            for (var i = 0; i < news.length; i++) {
                html += '<li>' + news[i] + '</li>';
            }
            //console.log(html);
            $('.news').innerHTML = html;
        }

        function $(id) {
            return document.querySelector(id);
        }
    </script>
</body>

</html>

app.get('/getNews', function(req, res){

    var news = [
        "第11日前瞻:中国冲击4金 博尔特再战200米羽球",
        "正直播柴飚/洪炜出战 男双力争会师决赛",
        "女排将死磕巴西!郎平安排男陪练模仿对方核心",
        "没有中国选手和巨星的110米栏 我们还看吗?",
        "中英上演奥运金牌大战",
        "博彩赔率挺中国夺回第二纽约时报:中国因对手服禁药而丢失的奖牌最多",
        "最“出柜”奥运?同性之爱闪耀里约",
        "下跪拜谢与洪荒之力一样 都是真情流露"
    ]
    var data = [];
    for(var i=0; i<3; i++){
        var index = parseInt(Math.random()*news.length);
        data.push(news[index]);
        news.splice(index, 1);
    }

    res.header("Access-Control-Allow-Origin", "*");
    /*后端如果允许访问数据,就在响应头中添加一个参数Access-Control-Allow-Origin,
    后面的参数值为允许的域名,这里 * 表示允许所有人访问,如果只想允许个别人访问,就单独设置
    */
    res.send(data);
})

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,681评论 5 474
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,710评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,623评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,202评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,232评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,368评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,795评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,461评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,647评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,476评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,525评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,226评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,785评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,857评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,090评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,647评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,215评论 2 341

推荐阅读更多精彩内容

  • 前言:对于跨域请求,很早之前就有去了解过,但因为一直关注的都是服务器后端开发,故也就仅仅停留在概念的理解上而没有机...
    ken_ljq阅读 89,696评论 6 128
  • 前段时间学习了AJAX,已经可以从后台拿到JSON串。可是出现了问题,目前我发送的请求都是在同域下的请求,如果我想...
    大春春阅读 1,048评论 2 13
  • 由于浏览器的同源策略保护机制,浏览器不能执行来自其他来源的脚本。通过js在不同的域之间进行数据传输或通信,比如用a...
    威少_吴阅读 1,370评论 0 2
  • 1.等待:我愿化作蒲公英,随风飘荡,飘落泥土之上,开始了新的人生。但我从来都没有离开过,我依然在那里静静地等...
    我是白漾伊阅读 637评论 0 2
  • 黑天鹅是我前段时间所看的一部精神类的影片,影片是以芭蕾舞为题材,展现一个人在追求完美的过程中,与过去自己的斗争以及...
    初衔白阅读 365评论 0 0