javascript如何實現跨域請求解決方案
當要在在頁面中使用js獲取其他網站的資料時,就會產生跨域問題,比如在網站中使用ajax請求其他網站的天氣、快遞或者其他資料介面時以及hybrid app中請求資料,瀏覽器就會提示以下錯誤。這種場景下就要解決js的跨域問題。
[JavaScript] 純文字檢視 複製程式碼XMLHttpRequest cannot load http://你請求的域名. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://當前頁的域名' is therefore not allowed access.
哪些情況會產生跨域問題:
一個網站的網址組成包括協議名,子域名,主域名,埠號。
比如 https://github.com/ ,其中https是協議名,www是子域名,github是主域名,埠號是80,當在在頁面中從一個url請求資料時,如果這個url的協議名、子域名、主域名、埠號任意一個有一個不同,就會產生跨域問題。
即使是在 http://localhost:80/ 頁面請求 http://127.0.0.1:80/ 也會有跨域問題。
解決跨域問題:
解決跨域問題有以下一種方式:
使用jsonp
服務端代理
服務端設定Request Header頭中Access-Control-Allow-Origin為指定可獲取資料的域名
jsonp的解決方式:
json≠jsonp
原理
jsonp解決跨域問題的原理是,瀏覽器的script標籤是不受同源策略限制(你可以在你的網頁中設定script的src屬性問cdn伺服器中靜態檔案的路徑)。那麼就可以使用script標籤從伺服器獲取資料,請求時新增一個引數為callbakc=?,?號時你要執行的回撥方法。
前端實現:
以jQuery2.1.3的ajax方法為例
[JavaScript] 純文字檢視 複製程式碼$.ajax({ url:"", dataType:"jsonp", data:{ params:"" } }).done(function(data){ //dosomething.. })
僅僅是客戶端使用jsonp請求資料是不行的,因為jsonp的請求是放在script標籤中的,和普通請求不同的地方在於,它請求到的是一段js程式碼,如果服務端返回了json字串,那麼瀏覽器就會報錯。所以jsonp返回資料需要服務端做一些處理。
服務端返回資料處理:
上面說了jsonp的原理是利用script標籤來解決跨域,但是script標籤是用來獲取js程式碼的,那麼怎麼獲取到請求的資料呢。
這就需要服務端做一些判斷,當引數中帶有callback屬性時,返回的type要為application/javascript,把資料作為callback的引數執行。下面是jsonp返回的資料的格式示例:
[JavaScript] 純文字檢視 複製程式碼/**/ typeof jQuery21307270454438403249_1428044213638 === 'function' && jQuery21307270454438403249_1428044213638({"code":1,"msg":"success","data":{"test":"test"}});
這是express4.12.3關於jsonp的實現程式碼:
[JavaScript] 純文字檢視 複製程式碼// jsonp if (typeof callback === 'string' && callback.length !== 0) { this.charset = 'utf-8'; this.set('X-Content-Type-Options', 'nosniff'); this.set('Content-Type', 'text/javascript'); // restrict callback charset callback = callback.replace(/[^\[\]\w$.]/g, ''); // replace chars not allowed in JavaScript that are in JSON body = body .replace(/\u2028/g, '\\u2028') .replace(/\u2029/g, '\\u2029'); // the /**/ is a specific security mitigation for "Rosetta Flash JSONP abuse" // the typeof check is just to reduce client error noise body = '/**/ typeof ' + callback + ' === \'function\' && ' + callback + '(' + body + ');'; }
服務端設定Access-Control-Allow-Origin
這種方式只要服務端把response的header頭中設定Access-Control-Allow-Origin為制定可請求當前域名下資料的域名即可。
一般情況下設為即可。這樣客戶端就不需要使用jsonp來獲取資料。
關於Access-Control-Allow-Origin設為是否會有安全問題,知乎上有個討論。
[JavaScript] 純文字檢視 複製程式碼http://www.zhihu.com/question/22992229
瀏覽器支援
Access-Control-Allow-Origin是html5新增的一項標準,IE10以下是不支援的,所以如果產品面向的是PC端,就要使用服務端代理或jsonp。
相關文章
- AJAX 跨域請求解跨域
- Ajax 跨域請求 Access to XMLHttpRequest 解決方案跨域XMLHTTP
- 巧用javascript ajax,實現跨域請求外帶,增大漏洞危害JavaScript跨域
- 跨域方案總結與實現跨域
- Ajax+SpringMVC實現跨域請求SpringMVC跨域
- iris 跨域解決方案跨域
- 簡單的實現jsonp跨域請求JSON跨域
- JavaScript之跨域解決方式JavaScript跨域
- ArkWeb網路安全基礎 - 跨域請求與解決方案Web跨域
- springboot系列文章之實現跨域請求(CORS)Spring Boot跨域CORS
- SignalR跨域解決方案全面SignalR跨域
- js跨域解決方案(一)JS跨域
- 前端跨域的解決方案前端跨域
- NGINX如何配置跨域請求Nginx跨域
- 跨域問題,解決方案 – CORS方案跨域CORS
- 安卓9.0不支援明文請求解決方案安卓
- JavaScript 跨域訪問(API介面)實現原理分析JavaScript跨域API
- 跨域多方位解決方案跨域
- 跨域問題及解決方案跨域
- 跨域解決方案(總結篇)跨域
- SpringBoot跨域問題解決方案Spring Boot跨域
- 跨域的原因以及解決方案跨域
- SpringBoot解決跨域請求攔截Spring Boot跨域
- 跨域請求跨域
- 為什麼出現OPTIONS?SpringBoot介面跨域解決方案Spring Boot跨域
- React如何解決fetch跨域請求時session失效問題React跨域Session
- JavaScript cookie 跨域JavaScriptCookie跨域
- 前端跨域問題及其解決方案前端跨域
- 常見的跨域解決方案(全)跨域
- Flutter Web 跨域問題解決方案FlutterWeb跨域
- nginx /Java 解決跨域問題方案NginxJava跨域
- 前端http請求跨域問題解決前端HTTP跨域
- 如何使flask允許跨域請求Flask跨域
- 跨域問題?如何解決?跨域
- 跨域?如何解決?同源策略?跨域
- vue跨域請求Vue跨域
- CORS跨域請求CORS跨域
- 一文搞懂│什麼是跨域?如何解決跨域?跨域
- 前後分離實現中,後臺 Laravel 接收資料的跨域解決方案Laravel跨域