• 一文搞懂浏览器同源策略


    摘要:同源策略就是指必须在同一个协议,域名,端口号下,而且三者必须一致的。

    本文会从以下几个方面讲述同源策略:

    • 第一点 what:什么是同源策略
    • 第二点 why:为什么需要同源策略
    • 第三点 how:如何解决经典的跨域问题

    什么是同源策略

    什么是同源策略呢?通常一个概念出来之后,我会从生活的实际例子找到解析,你可以想象一下,假如你们家的房子,是不是不允许陌生人进入,如果可以随便进入,那么久有可能被盗了,那么这个时候,锁头和钥匙就出现了为了保证家的安全。

    所以我们引出浏览器的同源策略,就是指必须在同一个协议,域名,端口号下,而且三者必须一致的。这个时候,我们就说是同源。

    举个例子:

    https://www.angular.cn:80/guide/inputs-outputs
    • http:// 是我们所说的协议。
    • www.angular.cn 是我们所说的域名。
    • 80 表示端口号。

    所以就会牵引出一个问题,不同源的数据交互问题,如果是以下两个链接交互数据,可以通过同源策略的检测:

    https://www.angular.cn:80/guide/inputs-outputs
        https://www.angular.cn:80/guide/index

    而如果是以下这样的链接交互数据,则不能通过同源策略的检测:

    http://www.child.a.com/test/index.html ----失败,域名不同
        https://www.a.com/test/index.html ----失败,协议不同
        http://www.a.com:8080/test/index.html ----失败,端口号不同

    有哪些是不受同源策略限制

    • 页面上的链接,比如 a 链接。
    • 重定向。
    • 表单提交。
    • 跨域资源的引入,比如:script, img, link, iframe。

    解决跨域问题

    既然有同源策略的限制,那么就会产生跨域问题,就是指不同源的脚本在数据交互的时候,会报错,这个过程就是跨域。

    那么有什么解决方案?

    • JSONP 解决跨域
    • CORS 解决跨域

    总的来说,这两个比较经典,工作中比较常用,所以先讲讲上面的方案。

    JSONP 解决跨域

    什么是 JSONP,举个例子,就是 a.com/jsonp.html 想要获取 b.com/main.js 的数据,这个时候由于浏览器同源策略,是获取不到数据的,所以我们可以在 a.com/jsonp.html 创建一个 script 脚本,http://b.com/main.js?callback=xxx。在main.js中调用这个回调函数xxx,并且以JSON数据形式作为参数传递,完成回调。我们来看看代码:

    // a.com/jsonp.html中的代码
          function addScriptTag(src) { 
               var script = document.createElement('script'); 
               script.setAttribute("type","text/javascript"); 
               script.src = src; 
              document.body.appendChild(script);
          }
          window.onload = function () { 
              addScriptTag('http://b.com/main.js?callback=foo');
          } //window.onload是为了让页面加载完成后再执行
          function foo(data) { 
                console.log(data.name+"欢迎您");
          };
         
        //b.com/main.js中的代码
        foo({name:"hl"})

    存在以下几点问题:

    • 只能使用 GET 请求方式,无法使用 POST 请求方式。
    • 可能被注入恶意代码,篡改页面内容,可以采用字符串过滤来规避此问题。

    CORS 解决跨域

    CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
    它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
    刚才的例子中,在b.com里面添加响应头声明允许a.com的访问,代码:

        Access-Control-Allow-Origin: http://a.com

    然后a.com就可以用ajax获取b.com里的数据了。

     

    点击关注,第一时间了解华为云新鲜技术~

  • 相关阅读:
    榫卯游戏介绍
    如果你有一个域名,你也可以免费有一个diy@yourdomain.com的企业邮局
    封装一个axios请求后台的通用方法
    javascript判断两个对象属性以及值是否相等
    遍历出文档内所有元素的tagName
    windows下nginx的安装及使用方法入门
    css样式重置样式
    canvas绘图
    表单脚本
    javascript事件
  • 原文地址:https://www.cnblogs.com/huaweiyun/p/14365699.html
Copyright © 2020-2023  润新知