JSONP 跨域

如何在本地偽裝一個(gè)網(wǎng)站

1.編輯hosts
mac:sudo vi /etc/hosts
windows: C:\Windows\System32\drivers\etc下修改hosts文件,注意管理員權(quán)限

  1. 添加一行 127.0.0.1 xxx.com
  2. 保存關(guān)閉
  3. 訪問xxx.com:端口號(hào)
如何監(jiān)聽80端口

mac: sudo http-server -c-1 -p 80
windows:
1,管理員身份運(yùn)行g(shù)it bash
2,http-server -c-1 -p 80

1.瀏覽器的同源策略

  • 同源策略(Same origin Policy)
    瀏覽器出于安全發(fā)面的考慮,只允許本域下的接口交互。不同源的客戶端腳本在沒有明確授權(quán)的情況下,不能讀寫對(duì)方的資源。

本域(同源)指的是:

同源的比如:
http://123/com/a/b.jshttp://123/com/index.php(同源)

不同源的例子:
1 http://123/com/main.jshttps://123/com/a.php (協(xié)議不同,http和https)
2 http://123/com/main.jshttp://bbs.123/com/a.php(域名不同,必須完全相同才可以)
3 http://123/com/main.jshttp://123/com:8080/a.php(端口不同,第一個(gè)默認(rèn)是80)
需要注意的是,對(duì)于當(dāng)前頁(yè)面來(lái)說(shuō),頁(yè)面存放的JS文件的域不重要, 重要的是加載該JS頁(yè)面所在的什么域

下面這4組都不是同源的:

  1. http://zhihu.com VS http://www.zhihu.com 沒有任何關(guān)系,兩個(gè)網(wǎng)站
  2. http://zhihu.com VS https://zhihu.com
  3. http://zhihu.com VS http://zhihu.com:81 端口不一樣
  4. http://zhihu.com VS http://zhihu.com.cn

只有字符串完全匹配的才算同源

不同源的不允許調(diào)用ajax

2.跨域

跨域:跨域就是向不同源的地址請(qǐng)求資源或者是進(jìn)行操作

3.幾種跨域方式

JSONP

html標(biāo)簽中script標(biāo)簽可以引入其他域下的JS,比如引入線上的jQuery庫(kù)。利用這個(gè)特性,可以實(shí)現(xiàn)跨域訪問接口。需要后端支持
echo $cb . '&&' . $cb . '(' . json_encoded($ret) . ')';

  1. 定義數(shù)據(jù)處理函數(shù)_fun
  2. 創(chuàng)建script標(biāo)簽,src的地址執(zhí)行后端參數(shù),最后加個(gè)參數(shù)callback=_fun
  3. 服務(wù)端在接收請(qǐng)求后,解析參數(shù),計(jì)算返回?cái)?shù)據(jù),輸出fun(data)字符串
  4. fun(data)會(huì)放到script標(biāo)簽作為js執(zhí)行。此時(shí)會(huì)調(diào)用fun函數(shù),將data作為參數(shù)

JSONP跨域舉例:
JSONP的使用思路是可以通過使用新增script標(biāo)簽的src來(lái)訪問其他域上的js來(lái)進(jìn)行的。

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>


<ul>
    <li>內(nèi)容1</li>
    <li>內(nèi)容2</li>
    <li>內(nèi)容3</li>
</ul>
<button>換一組</button>

<script>
    var btn = document.querySelector('button');
    var ul = document.querySelector('ul');
    var body = document.querySelector('body');
    btn.addEventListener('click',function () {
        var newScript = document.createElement('script');
        newScript.src = 'http://localhost:8080/jsonp/?callback=getNews';
        body.appendChild(newScript);
        body.removeChild(newScript);
    })
    function getNews (arr) {
        var html = '';
        for (var i = 0; i < arr.length; i ++) {
            html += '<li>' + arr[i] + '</li>';
        }
        ul.innerHTML = html;
    }
</script>

</body>
</html>

上面的是前端代碼,那么核心思想在于

        newScript.src = 'http://localhost:8080/jsonp/?callback=getNews';
        body.appendChild(newScript);

創(chuàng)建一個(gè)script標(biāo)簽,設(shè)置src可以請(qǐng)求別的域的js,在src中設(shè)置好域,接口和回調(diào)參數(shù)等。在后端代碼中做相應(yīng)的處理即可

app.get('/jsonp',function (req,res) {
    var content = [
        "內(nèi)容10",
        "內(nèi)容4",
        "內(nèi)容5",
        "內(nèi)容6",
        "內(nèi)容7",
        "內(nèi)容8",
        "內(nèi)容9",
    ];
    var data = [];
    for (var i = 0; i < 3; i ++) {
        var index = parseInt(Math.random()*content.length);
        data.push(content[index]);
        content.splice(index,1);
    }

    //進(jìn)行后端的jsonp跨域處理
    var cb = req.query.callback;
    if (cb) { //如果存在回調(diào)函數(shù)的話
        res.send(cb + '(' + JSON.stringify(data) + ')' ); //拼接成最后能調(diào)用的語(yǔ)法格式
    }
    else {
        res.send(data);
    }
})

在后端中,我們拼接成回調(diào)函數(shù)調(diào)用的形式返回給前端,進(jìn)行執(zhí)行。
由于返回的是字符串要進(jìn)行解析執(zhí)行,所以JSONP格式的跨域有被XSS注入的風(fēng)險(xiǎn)。處理也較為麻煩

CORS

跨域資源共享(Cross-origin Resource Sharing),是一種ajax跨域請(qǐng)求資源的方式,IE10以上支持。
實(shí)現(xiàn)方式:當(dāng)使用XMLHttpRequest發(fā)送請(qǐng)求時(shí),瀏覽器發(fā)現(xiàn)該請(qǐng)求不符合同源策略,會(huì)給該請(qǐng)求加一個(gè)請(qǐng)求頭:Origin,后臺(tái)進(jìn)行一系列處理,如果確定接受請(qǐng)求的話就在返回結(jié)果中加入一個(gè)響應(yīng)頭:Access-Control-Allow-Origin;瀏覽器判斷該響應(yīng)頭中是否包含Origin的值,如果有則處理響應(yīng),就能拿到響應(yīng)數(shù)據(jù),如果不包含瀏覽器直接駁回,無(wú)法拿到響應(yīng)數(shù)據(jù)。
所以CORS的表象就是讓你覺得它和同源的ajax請(qǐng)求沒啥區(qū)別,代碼完全一樣

cors使用舉例:
修改我們的hosts,使得當(dāng)前域名可以通過index1.com:8080進(jìn)行訪問

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>


<ul>
    <li>內(nèi)容1</li>
    <li>內(nèi)容2</li>
    <li>內(nèi)容3</li>
</ul>
<button>換一組</button>

<script>
    var btn = document.querySelector('button');
    var ul = document.querySelector('ul');
    btn.addEventListener('click',function () {
        var xhr = new XMLHttpRequest();
        xhr.open('get','http://localhost:8080/cors',true);
        xhr.send();
        xhr.onreadystatechange = function () {
            if (xhr.readyState === 4 && (xhr.status ===200 || xhr.status === 304)) {
                var news = JSON.parse(xhr.responseText);
                render(news);

            }
        }
    })
    function render (arr) {
        var html = '';
        for (var i = 0; i < arr.length; i ++) {
            html += '<li>' + arr[i] + '</li>';
        }
        ul.innerHTML = html;
    }
</script>

</body>
</html>

這是前端代碼,注意到我們?cè)赼jax發(fā)送中規(guī)定的接口是xhr.open('get','http://localhost:8080/cors',true);http://localhost:8080發(fā)起請(qǐng)求,我們當(dāng)前的hosts經(jīng)過修改,url為http://index1.com:8080,所以為不同源,此時(shí)就會(huì)報(bào)錯(cuò)。這時(shí)候我們需要在后端進(jìn)行設(shè)置,以server-mock為例,后端代碼如下:

app.get('/cors',function (req,res) {
    var content = [
        "內(nèi)容10",
        "內(nèi)容4",
        "內(nèi)容5",
        "內(nèi)容6",
        "內(nèi)容7",
        "內(nèi)容8",
        "內(nèi)容9",
    ];
    var data = [];
    for (var i = 0; i < 3; i ++) {
        var index = parseInt(Math.random()*content.length);
        data.push(content[index]);
        content.splice(index,1);
    }
    res.header("Access-Control-Allow-Origin","http://index1.com:8080");// 后端設(shè)置一個(gè)響應(yīng)頭,第二個(gè)參數(shù)代表只允許規(guī)定的域訪問
    // res.header("Access-Control-Allow-Origin","*");//寫成*代表不管什么域都允許請(qǐng)求數(shù)據(jù)
    res.send(data);
})

我們?cè)诤蠖酥性黾恿?code>res.header("Access-Control-Allow-Origin","http://index1.com:8080");設(shè)置了一個(gè)響應(yīng)頭,第二個(gè)參數(shù)代表只允許規(guī)定的域訪問,也可以寫成*代表所有其他域都允許請(qǐng)求數(shù)據(jù)。我們這時(shí)候就能在Network里面看到Response Headers里面的Access-Control-Allow-Origin被設(shè)置成了http://index1.com:8080,而Request Headers里面也有當(dāng)瀏覽器發(fā)現(xiàn)該請(qǐng)求不符合同源策略,該請(qǐng)求加一個(gè)請(qǐng)求頭Origin,其值為http://index1.com:8080。有了這個(gè)響應(yīng)頭,我們就能成功的跨域請(qǐng)求數(shù)據(jù)了。
CORS 的優(yōu)點(diǎn)是使用ajax,處理特別簡(jiǎn)單。缺點(diǎn)是ie10之后才兼容

降域

對(duì)于同一網(wǎng)站下的二級(jí)域名等可以使用降域方法進(jìn)行跨域
document.domain = xxx.com;

比如說(shuō)http://b.123.com:8080/b.html的iframe嵌套在http://a.123.com:8080/a.html的頁(yè)面內(nèi),此時(shí)兩個(gè)子域不能進(jìn)行跨域,但是只要給2個(gè)子域都加上
document.domain = '123.com';
就能實(shí)現(xiàn)跨域

postMessage

對(duì)于不同的域下發(fā)送一個(gè)數(shù)據(jù),如果對(duì)方接受任何一個(gè)數(shù)據(jù),那就可以去使用,沒有監(jiān)聽數(shù)據(jù)的話則不使用。
由頁(yè)面A向頁(yè)面B發(fā)送請(qǐng)求,在頁(yè)面B中監(jiān)聽這個(gè)message事件,監(jiān)聽請(qǐng)求并且獲取A發(fā)送的數(shù)據(jù),即可實(shí)現(xiàn)跨域請(qǐng)求。

應(yīng)用舉例:
http://127.0.0.1:8080/post.html頁(yè)面進(jìn)行發(fā)送數(shù)據(jù)
http://localhost:8080/receive.html進(jìn)行監(jiān)聽數(shù)據(jù)

http://127.0.0.1:8080/post.html為:

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>

<div class="ct">
    <h1>使用postMessage實(shí)現(xiàn)跨域</h1>
    <div class="main">
        <input type="text" placeholder="http://127.0.0.1:8080/post.html">
    </div>
    <iframe src="http://localhost:8080/receive.html" frameborder="0" ></iframe>
</div>
<script>
    var input = document.querySelector('input');
    input.addEventListener('input',function () {
        console.log(this.value);
        window.frames[0].postMessage(this.value,"*");
//        window.frame[0]代表receive.html
    })
    window.addEventListener('message',function (e) {// 注意監(jiān)聽數(shù)據(jù)時(shí)對(duì)象是window
        input.value = e.data;
    })
</script>
</body>
</html>

receive.html為

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Document</title>
</head>
<body>
<input type="text" placeholder="http://localhost:8080/receive.html">
<script>
    var input = document.querySelector('input');
    window.addEventListener('message',function (e) { // 注意監(jiān)聽數(shù)據(jù)時(shí)對(duì)象是window
        input.value = e.data;
    })
    input.addEventListener('input',function() {
        window.parent.postMessage(this.value,"*");
//        window.parent代表包含當(dāng)前iframe的頁(yè)面,即post.html
    })
</script>
</body>
</html>
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 228,443評(píng)論 6 532
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 98,530評(píng)論 3 416
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái),“玉大人,你說(shuō)我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 176,407評(píng)論 0 375
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)。 經(jīng)常有香客問我,道長(zhǎng),這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 62,981評(píng)論 1 312
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 71,759評(píng)論 6 410
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 55,204評(píng)論 1 324
  • 城市分裂傳說(shuō)
    那天,我揣著相機(jī)與錄音,去河邊找鬼。 笑死,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 43,263評(píng)論 3 441
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來(lái)了?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 42,415評(píng)論 0 288
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 48,955評(píng)論 1 336
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 40,782評(píng)論 3 354
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 42,983評(píng)論 1 369
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 38,528評(píng)論 5 359
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 44,222評(píng)論 3 347
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 34,650評(píng)論 0 26
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 35,892評(píng)論 1 286
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 51,675評(píng)論 3 392
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 47,967評(píng)論 2 374

推薦閱讀更多精彩內(nèi)容

  • 什么是同源策略 同源政策(same-origin policy)是指同域名(或ip),同端口,同協(xié)議視為同一個(gè)域,...
    小囧兔閱讀 531評(píng)論 0 1
  • 什么是同源策略 同源策略/SOP(Same origin policy)是一種約定,由Netscape公司1995...
    YQY_苑閱讀 327評(píng)論 0 0
  • 題目1: 什么是同源策略 瀏覽器出于安全方面的考慮,只允許與本域下的接口交互。不同源的客戶端腳本在沒有明確授權(quán)的情...
    進(jìn)擊的前端_風(fēng)笑影閱讀 309評(píng)論 0 0
  • 題目1: 什么是同源策略 同源策略(Same Origin Policy): 瀏覽器出于安全方面的考慮, 只允許與...
    cctosuper閱讀 241評(píng)論 0 1
  • 熱烈祝賀農(nóng)爸爸西北旺社區(qū)自提點(diǎn)啟動(dòng)! 96工程將于本周六正式開啟! 不投錢不設(shè)人,第一個(gè)完全由顧客經(jīng)營(yíng)的社區(qū)終端,...
    農(nóng)爸爸閱讀 190評(píng)論 0 0