JSONP跨域和CORS跨域
什么是跨域����?
跨域:指的是瀏覽器不能執(zhí)行其它網(wǎng)站的腳本,它是由瀏覽器的同源策略造成的�,是瀏覽器的安全限制�!
同源策略
同源策略:域名����、協(xié)議�、端口均相同。
瀏覽器執(zhí)行JavaScript腳本時,會檢查這個腳本屬于那個頁面��,如果不是同源頁面�,就不會被執(zhí)行。
JSONP跨域
只支持GET請求,不支持POST等其它請求,也不支持復(fù)雜請求�����,只支持簡單請求���。
CORS跨域
支持所有的請求�,包含GET���、POST�、OPTOIN、PUT、DELETE等。既支持復(fù)雜請求����,也支持簡單請求��。
JSONP和CORS跨域理解
使用目的: JSONP與CORS的使用目的相同����,并且都需要服務(wù)端和客戶端同時支持�,但CORS的功能更加強(qiáng)大。
JSONP(json with padding 填充式j(luò)son):利用了使用src引用靜態(tài)資源時不受跨域限制的機(jī)制。主要在客戶端搞一個回調(diào)做一些參數(shù)接收與操作的處理,并把這個回調(diào)函數(shù)告知服務(wù)器��,而服務(wù)器端需要做的是按照J(rèn)avaScript的語法把數(shù)據(jù)放到約定好的回調(diào)函數(shù)之中即可��,jQuery很早之前就已經(jīng)把JSONP語法糖化了�����,使用起來會更加方便。
CORS(Cross-origin resource sharing 跨域資源共享):依附于AJAX,通過添加HTTP Header部分字段請求與獲取有權(quán)限訪問的資源���。CORS對開發(fā)者是透明的,因?yàn)闉g覽器會自動根據(jù)請求的情況(簡單和復(fù)雜)做出不同的處理。CORS的關(guān)鍵是服務(wù)器端的配置支持�,由于CORS是W3C中一項(xiàng)較“新”的方案�����,以至于各大網(wǎng)頁解析引擎還沒有對齊進(jìn)行嚴(yán)格規(guī)格的實(shí)現(xiàn)�����,所以不同引擎下可能會有一些不一致����。
JSONP和CORS的優(yōu)缺點(diǎn)
1. JSONP的主要優(yōu)勢在于對瀏覽器的支持較好��;雖然目前主流瀏覽器都支持CORS��,但I(xiàn)E9及以下不支持CORS。
2. JSONP只能用于獲取資源(即只讀�����,類似于GET請求)���;CORS支持所有類型的HTTP請求��,功能完善�����。(這點(diǎn)JSONP被玩虐,但大部分情況下GET已經(jīng)能滿足需求了)
JSONP的錯誤處理機(jī)制并不完善�����,我們沒辦法進(jìn)行錯誤處理�;而CORS可以通過onerror事件監(jiān)聽錯誤,并且瀏覽器控制臺會看到報(bào)錯信息����,利于排查���。
3. JSONP只會發(fā)一次請求;而對于復(fù)雜請求,CORS會發(fā)兩次請求。
4. 始終覺得安全性這個東西是相對的,沒有絕對的安全���,也做不到絕對的安全。畢竟JSONP并不是跨域規(guī)范�����,它存在很明顯的安全問題:callback參數(shù)注入和資源訪問授權(quán)設(shè)置���。CORS好歹也算是個跨域規(guī)范���,在資源訪問授權(quán)方面進(jìn)行了限制(Access-Control-Allow-Origin)�,而且標(biāo)準(zhǔn)瀏覽器都做了安全限制,比如拒絕手動設(shè)置origin字段����,相對來說是安全了一點(diǎn)�。但是回過頭來看一下�,就算是不安全的JSONP��,我們依然可以在服務(wù)端端進(jìn)行一些權(quán)限的限制,服務(wù)端和客戶端也都依然可以做一些注入的安全處理����,哪怕被攻克���,它也只能讀一些東西���。就算是比較安全的CORS����,同樣可以在服務(wù)端設(shè)置出現(xiàn)漏洞或者不在瀏覽器的跨域限制環(huán)境下進(jìn)行攻擊�,而且它不僅可以讀����,還可以寫。
應(yīng)用場景
- 如果需要兼容IE低版本瀏覽器��,無疑�����,JSONP���。
- 如果需要對服務(wù)端資源進(jìn)行操作�,無疑��,CORS����。
- 其他情況的話��,根據(jù)自己的對需求的分析來決定和使用��。
相同協(xié)議、域名、端口下
- 頁面在 http://localhost:3000/0
- 服務(wù)在 http://localhost:3000/1
- 控制臺能正常輸出 {name: '', sex: '', _stamp: ''}
views/0.ejs
<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>Document</title> <style> </style></head><body> <form action="/" onsubmit="return false"> <label for="name">NAME</label><input type="text" id="name" name="name"><br> <label for="sex">SEX</label><input type="text" id="sex" name="sex"><br> <input type="submit" value="SUBMIT"> </form> <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script> <script> $('form').on('submit', function(){ $.ajax({ url: 'http://localhost:3000/1', data: { name: $('#name').val(), sex: $('#sex').val() }, success: function(data){ console.log(data); } }) }) </script></body></html>serve.js
const server = require('express')();server.set('view engine', 'ejs');server.get('/0', (req, res) => { res.render('0.ejs', {});})server.get('/1', (req, res) => { let {name, sex} = req.query; res.send({name, sex, _stamp: + new Date});})server.listen(3000);JSONP
把0.ejs改為0.hmtl,直接打開或者在http://localhost:3001/views/0.html打開(3000端口被占用時運(yùn)行$ browser-sync start --server --files '**')
控制臺報(bào)錯 Access to XMLHttpRequest at 'http://localhost:3000/1?name=&sex=' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
jQuery 的 JSONP
0.html 的腳本改為
function jCb(data){ // 這個函數(shù)和ajax 的 success 同樣可以操作 data console.log('你要的', data);}$('form').on('submit', function(){ $.ajax({ url: 'http://localhost:3000/1', data: { name: $('#name').val(), sex: $('#sex').val() }, dataType: 'jsonp', jsonpCallback: 'jCb', // 服務(wù)端 req.query.callback = 'jCb' success: function(data){ console.log(data); } })})server.js 注意返回客戶端的字符串的拼接
const server = require('express')();server.get('/1', (req, res) => { let {name, sex, callback} = req.query; var data = "{name: '', sex: '', _stamp: ''}"; // 然后再在單引號處拼接 data = "{name: '" + name + "', sex: '" + sex + "', _stamp:' " + Date.now() + "'}"; data = `{name: '${name}', sex: '${sex}', _stamp: '${+ new Date}'}` var resStr = callback + "()" resStr = callback + "(" + data + ")" console.log(callback, typeof callback); // jCb string console.log(resStr, typeof resStr); // jCb({name:'',sex:'',_stamp:'1542456915800'}) string res.send(resStr);})server.listen(3000);利用 script 標(biāo)簽
0.html
<script> function jCb(data) { console.log("jsonpCallback: " + data.name) }</script><script src = 'http://localhost:3000/1?jsonp=jsonpCallback'></script>server.jsserver.get('/1', (req, res) => { var data = 'var data = {name: $("#name").val(), sex: $("#sex").val(), _stamp: + new Date };' var debug = 'console.log(data);' var callback = '$("form").submit(function(){' + data + req.query.jsonp + '(data);' + debug + '});' res.send(callback);})CORS
html 代碼還是最初的代碼���,server.js 改變
server.get('/1', (req, res) => { // 設(shè)置可以請求的域名,"*" 代表所有域名 res.header("Access-Control-Allow-Origin", "http://localhost:3001"); // 設(shè)置所允許的HTTP請求方法。 res.header("Access-Control-Allow-Methods", "OPTIONS, GET, PUT, POST, DELETE"); // 字段是必需的。它也是一個逗號分隔的字符串�����,表明服務(wù)器支持的所有頭信息字段�。 res.header("Access-Control-Allow-Headers", "x-requested-with, accept, origin, content-type"); // 服務(wù)器收到請求以后,檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后��,確認(rèn)允許跨源請求����,就可以做出回應(yīng)�。 // Content-Type表示具體請求中的媒體類型信息。 res.header("Content-Type", "application/json;charset=utf-8"); // 該字段可選����。它的值是一個布爾值���,表示是否允許發(fā)送Cookie���。默認(rèn)情況下��,Cookie不包括在CORS請求之中。 // 當(dāng)設(shè)置成允許請求攜帶cookie時��,需要保證"Access-Control-Allow-Origin"是服務(wù)器有的域名���,而不能是"*"�����。 res.header("Access-Control-Allow-Credentials", true); // 該字段可選�,用來指定本次預(yù)檢請求的有效期�,單位為秒。 // 當(dāng)請求方法是PUT或DELETE等特殊方法或者Content-Type字段的類型是application/json時��,服務(wù)器會提前發(fā)送一次請求進(jìn)行驗(yàn)證 // 下面的的設(shè)置只本次驗(yàn)證的有效時間����,即在該時間段內(nèi)服務(wù)端可以不用進(jìn)行驗(yàn)證 res.header("Access-Control-Max-Age", 300); /* CORS請求時��,XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段: Cache-Control、 Content-Language、 Content-Type����、 Expires、 Last-Modified�、 Pragma�����。 */ // 需要獲取其他字段時,使用Access-Control-Expose-Headers��, // getResponseHeader('myData')可以返回我們所需的值 res.header("Access-Control-Expose-Headers", "myData"); let {name, sex} = req.query; res.send({name, sex, _stamp: + new Date});})以上就是本文的全部內(nèi)容��,希望對大家的學(xué)習(xí)有所幫助�,也希望大家多多支持武林網(wǎng)����。
