JSONP跨域和CORS跨域
什麼是跨域?
跨域:指的是瀏覽器不能執行其它網站的腳本,它是由瀏覽器的同源策略造成的,是瀏覽器的安全限制!
同源策略
同源策略:域名、協議、端口均相同。
瀏覽器執行JavaScript腳本時,會檢查這個腳本屬於那個頁面,如果不是同源頁面,就不會被執行。
JSONP跨域
只支持GET請求,不支持POST等其它請求,也不支持複雜請求,只支持簡單請求。
CORS跨域
支持所有的請求,包含GET、POST、OPTOIN、PUT、DELETE等。既支持複雜請求,也支持簡單請求。
JSONP和CORS跨域理解
使用目的: JSONP與CORS的使用目的相同,並且都需要服務端和客戶端同時支持,但CORS的功能更加強大。
JSONP(json with padding 填充式json):利用了使用src引用靜態資源時不受跨域限制的機制。主要在客戶端搞一個回調做一些參數接收與操作的處理,並把這個回調函數告知服務器,而服務器端需要做的是按照JavaScript的語法把數據放到約定好的回調函數之中即可,jQuery很早之前就已經把JSONP語法糖化了,使用起來會更加方便。
CORS(Cross-origin resource sharing 跨域資源共享):依附於AJAX,通過添加HTTP Header部分字段請求與獲取有權限訪問的資源。CORS對開發者是透明的,因爲瀏覽器會自動根據請求的情況(簡單和複雜)做出不同的處理。CORS的關鍵是服務器端的配置支持,由於CORS是W3C中一項較“新”的方案,以至於各大網頁解析引擎還沒有對齊進行嚴格規格的實現,所以不同引擎下可能會有一些不一致。
JSONP和CORS的優缺點
1. JSONP的主要優勢在於對瀏覽器的支持較好;雖然目前主流瀏覽器都支持CORS,但IE9及以下不支持CORS。
2. JSONP只能用於獲取資源(即只讀,類似於GET請求);CORS支持所有類型的HTTP請求,功能完善。(這點JSONP被玩虐,但大部分情況下GET已經能滿足需求了)
JSONP的錯誤處理機制並不完善,我們沒辦法進行錯誤處理;而CORS可以通過onerror事件監聽錯誤,並且瀏覽器控制檯會看到報錯信息,利於排查。
3. JSONP只會發一次請求;而對於複雜請求,CORS會發兩次請求。
4. 始終覺得安全性這個東西是相對的,沒有絕對的安全,也做不到絕對的安全。畢竟JSONP並不是跨域規範,它存在很明顯的安全問題:callback參數注入和資源訪問授權設置。CORS好歹也算是個跨域規範,在資源訪問授權方面進行了限制(Access-Control-Allow-Origin),而且標準瀏覽器都做了安全限制,比如拒絕手動設置origin字段,相對來說是安全了一點。但是回過頭來看一下,就算是不安全的JSONP,我們依然可以在服務端端進行一些權限的限制,服務端和客戶端也都依然可以做一些注入的安全處理,哪怕被攻克,它也只能讀一些東西。就算是比較安全的CORS,同樣可以在服務端設置出現漏洞或者不在瀏覽器的跨域限制環境下進行***,而且它不僅可以讀,還可以寫。
應用場景
如果需要兼容IE低版本瀏覽器,無疑,JSONP。
如果需要對服務端資源進行操作,無疑,CORS。
其他情況的話,根據自己的對需求的分析來決定和使用。
相同協議、域名、端口下
頁面在 http://localhost:3000/0
服務在 http://localhost:3000/1
控制檯能正常輸出 {name: '', sex: '', _stamp: ''}
views/0.ejs
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>Document</title> <style> </style> </head> <body> <form action="/" onsubmit="return false"> <label for="name">NAME</label><input type="text" id="name" name="name"><br> <label for="sex">SEX</label><input type="text" id="sex" name="sex"><br> <input type="submit" value="SUBMIT"> </form> <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script> <script> $('form').on('submit', function(){ $.ajax({ url: 'http://localhost:3000/1', data: { name: $('#name').val(), sex: $('#sex').val() }, success: function(data){ console.log(data); } }) }) </script> </body> </html>serve.js
const server = require('express')(); server.set('view engine', 'ejs'); server.get('/0', (req, res) => { res.render('0.ejs', {}); }) server.get('/1', (req, res) => { let {name, sex} = req.query; res.send({name, sex, _stamp: + new Date}); }) server.listen(3000);JSONP
把0.ejs改爲0.hmtl,直接打開或者在http://localhost:3001/views/0.html打開(3000端口被佔用時運行$ browser-sync start --server --files '**')
控制檯報錯 Access to XMLHttpRequest at 'http://localhost:3000/1?name=&sex=' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
jQuery 的 JSONP
0.html 的腳本改爲
function jCb(data){ // 這個函數和ajax 的 success 同樣可以操作 data console.log('你要的', data); } $('form').on('submit', function(){ $.ajax({ url: 'http://localhost:3000/1', data: { name: $('#name').val(), sex: $('#sex').val() }, dataType: 'jsonp', jsonpCallback: 'jCb', // 服務端 req.query.callback = 'jCb' success: function(data){ console.log(data); } }) })server.js 注意返回客戶端的字符串的拼接
const server = require('express')(); server.get('/1', (req, res) => { let {name, sex, callback} = req.query; var data = "{name: '', sex: '', _stamp: ''}"; // 然後再在單引號處拼接 data = "{name: '" + name + "', sex: '" + sex + "', _stamp:' " + Date.now() + "'}"; data = `{name: '${name}', sex: '${sex}', _stamp: '${+ new Date}'}` var resStr = callback + "()" resStr = callback + "(" + data + ")" console.log(callback, typeof callback); // jCb string console.log(resStr, typeof resStr); // jCb({name:'',sex:'',_stamp:'1542456915800'}) string res.send(resStr); }) server.listen(3000);利用 script 標籤
0.html
<script> function jCb(data) { console.log("jsonpCallback: " + data.name) } </script> <script src = 'http://localhost:3000/1?jsonp=jsonpCallback'></script> server.js server.get('/1', (req, res) => { var data = 'var data = {name: $("#name").val(), sex: $("#sex").val(), _stamp: + new Date };' var debug = 'console.log(data);' var callback = '$("form").submit(function(){' + data + req.query.jsonp + '(data);' + debug + '});' res.send(callback); })CORS
html 代碼還是最初的代碼,server.js 改變
server.get('/1', (req, res) => { // 設置可以請求的域名,"*" 代表所有域名 res.header("Access-Control-Allow-Origin", "http://localhost:3001"); // 設置所允許的HTTP請求方法。 res.header("Access-Control-Allow-Methods", "OPTIONS, GET, PUT, POST, DELETE"); // 字段是必需的。它也是一個逗號分隔的字符串,表明服務器支持的所有頭信息字段。 res.header("Access-Control-Allow-Headers", "x-requested-with, accept, origin, content-type"); // 服務器收到請求以後,檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以後,確認允許跨源請求,就可以做出迴應。 // Content-Type表示具體請求中的媒體類型信息。 res.header("Content-Type", "application/json;charset=utf-8"); // 該字段可選。它的值是一個布爾值,表示是否允許發送Cookie。默認情況下,Cookie不包括在CORS請求之中。 // 當設置成允許請求攜帶cookie時,需要保證"Access-Control-Allow-Origin"是服務器有的域名,而不能是"*"。 res.header("Access-Control-Allow-Credentials", true); // 該字段可選,用來指定本次預檢請求的有效期,單位爲秒。 // 當請求方法是PUT或DELETE等特殊方法或者Content-Type字段的類型是application/json時,服務器會提前發送一次請求進行驗證 // 下面的的設置只本次驗證的有效時間,即在該時間段內服務端可以不用進行驗證 res.header("Access-Control-Max-Age", 300); /* CORS請求時,XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段: Cache-Control、 Content-Language、 Content-Type、 Expires、 Last-Modified、 Pragma。 */ // 需要獲取其他字段時,使用Access-Control-Expose-Headers, // getResponseHeader('myData')可以返回我們所需的值 res.header("Access-Control-Expose-Headers", "myData"); let {name, sex} = req.query; res.send({name, sex, _stamp: + new Date}); })參考文章:
文章同步發佈: https://www.geek-share.com/detail/2753888135.html