1.JSONP
(1)jsonp原理
利用script标签没有跨域限制的漏洞,网页可以得到从其他来源动态生产的JSON数,JSONP请求一定要对方的服务器做支持才可以。
(2) jsonp和ajax对比
相同点:都是客户端向服务端发送请求,从服务端获取数据的方式。
不同点:ajax属于同源策略,jsonp属于非同源策略。
(3)jsonp的优缺点
优点:简单兼容性好,可以解决主流浏览器的跨域数据访问问题。
缺点:仅支持get方法,具有局限性,不安全可能会遭受XSS攻击
(4)jsonp的实现流程
- 声明一个回调函数,其函数名当做参数值,传递给跨域请求数据的服务器,函数形参为要获取目标数据(服务器返回的data)
- 创建一个script标签,把跨域的请求地址赋值给script标签的src属性,并且加入函数传递给服务器(如:http:xxx.xx.xx:8080?callback = show)
- 服务器接收到请求后需要进行特殊的处理,把传递进来的函数名和它需要给你的数据拼接成一个字符串,列如:传递进去的函数名是show,后端准备好的数据是show(‘这是你要的数据’).
- 最后服务器把准备好的数据通过HTTP协议返回给客户端,客户端再调用执行之前声明的回调函数(show),对返回的数据进行操作。
在开发中可能会遇到对个JSONP请求的回调函数名是相同的,这个时候需要自己封装一个JSONP函数。
2、postMessage
postMessage是HTML5 XMLHttpRequest Level 2 中的api,且是为数不多可以跨域操作的window属性之一,它可用于解决一下方面的问题
- 页面和其打开的新窗口的数据传递
- 多窗口之间消息传递
- 页面与嵌套的ifream消息传递
-上面三个场景的跨域数据传递
postMessage()允许来自不同源的脚本采用异步方式进行有限的通信,可以实现跨文档、多窗口、跨域消息传递。
otherWindow.postMessage(message,targetOrigin,[transfer])
- message:将要发送到其他window的数据
- targetOrigin:通过窗口的origin水泥杆来制定哪些窗口能接受到消息事件,其值可以是字符串‘*’标识无限制或是一个URL,在发送消息的时候,如果目标窗口的协议、主机地址或端口这三者的任意一个项不匹配targetOrigin提供的值,那么消息就不会被发送;只有三者完全匹配,消息才会发送。
接下来我们看个例子: http://localhost:3000/a.html页面向http://localhost:4000/b.html传递“我爱你”,然后后者传回"我不爱你"。
3、websocket
websocket是html5的一个持久化的协议,它实现了浏览器与服务器的全双工通信,同时也是跨域的一种解决方案。websocket和HTTP都是应用层协议,都基于TCP协议。但是websocket是一种双向通信协议,在建立连接之后,websocket的server和client都能主动先对方发送或接受数据。
原生websocket API使用起来不方便,我们使用socket.io,它很好封装了websocket接口,提供更简单、灵活的接口,也对不支持websocket的浏览器提供向下兼容。
例子:本地文件socket.html向localhost:3000发生数据和接受数据
4、Node 中间件代理(两次跨域)
- 接口客户端请求
- 将请求转发给服务器
- 拿到服务器响应 数据
- 将响应转发给客户端
列子:本地文件index.html文件,通过代理服务器http://localhost:3000向目标服务器http://localhost:4000请求数据。
node
上述代码经过两次跨域,值得注意的是浏览器向代理服务器发送请求,也遵循同源策略。
5、nginx 反向代理(最简单的跨域方式)
实现原理类似于Node中间件代理,需要你搭建一个中转nginx服务器,用于转发请求。
使用nginx反向代理实现跨域,是最简单的跨域方式,只需要修改nginx的配置即可解决跨域问题,支持所有浏览器,支持session,不需要修改任何代码,并且不会影响服务器性能。
实现思路:通过nginx配置一个代理服务器(域名与domain相同)做跳板机,反向代理访问domain2接口,并且可以顺便修改cookie中domain信息,方便当前域cookie写入,实现跨域登录。
先下载nginx,然后将nginx目录下的nginx。conf修改如下:
6、CORS
CORS需要浏览器和后端同时支持,IE8 和8需要通过XDomainRequest来实现。
浏览器会自动进行CORS通信,实现CORS通信的关键是后端,只要后端实现了CORS,就实现跨域。
服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。
虽然设置 CORS 和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。
- 简单请求
只要同时满足以下两大条件,就属于简单请求
条件1:使用下列方法之一:
GET
HEAD
POST
条件2:Content-Type 的值仅限于下列三者之一:
text/plain
multipart/form-data
application/x-www-form-urlencoded
请求中的任意 XMLHttpRequestUpload 对象均没有注册任何事件监听器; XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问。
2) 复杂请求
不符合以上条件的请求就肯定是复杂请求了。
复杂请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求,该请求是 option 方法的,通过该请求来知道服务端是否允许跨域请求。
我们用PUT向后台请求时,属于复杂请求。
7、Hash
- 利用hash通讯,场景: 当前页面A通过iframe或iframe嵌套了跨域的页面B,在A页面中给B页面传递信息。
总结
- CORS支持所有类型的HTTP请求,是跨域HTTP请求的根本解决方案
- JSONP只支持GET请求,JSONP的优势在于支持老式浏览器,以及可以向不支持CORS的网站请求数据。
- 不管是node中间件代理还是nginx反向代理,主要通过同源策略对服务器不加限制
- 日常工作中,用得比较多的跨域方案是CORS和nginx反向代理
本文是参考https://github.com/ljianshu/Blog/issues/55,还有其他的几种跨域方法,在链接中有的,有想看的请点击链接进去看。
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/bcyy/17779.html