题目1: 什么是同源策略
-
浏览器出于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
-
本域指的是?
同协议:如都是http,https,file,ssh,mailto,tel
同域名(在//后到第一个/之间):
如都是http://jirengu.com/a 和http://jirengu.com/b
同端口:如都是80端口
如:http://jirengu.com/a/b.js 和 http://jirengu.com/index.php (同源) -
不同源的例子:
http://jirengu.com/main.js 和 https://jirengu.com/a.php (协议不同)
http://jirengu.com/main.js 和 http://bbs.jirengu.com/a.php (域名不同,域名必须完全相同才可以)
http://jiengu.com/main.js 和 http://jirengu.com:8080/a.php (端口不同,第一个是80) -
需要注意的是: 对于当前页面来说页面存放的 JS 文件的域不重要,重要的是加载该 JS 页面所在什么域与JS中加载数据的域是否相同
题目2: 什么是跨域?跨域有几种实现形式
-
什么是跨域?
允许不同域的接口进行交互 -
跨域有几种实现形式
- JSONP(实际就是以加载js的方式,执行拿到不同域名中的数据)
- CORS(后端设置后端会添加一个响应头:Access-Control-Allow-Origin.设置允许访问的域名)
- 降域(几个域名相同的一部分)
- postMessage(用于iframe,在parent的html中获取iframe,发消息,在iframe的html中监听)
题目3: JSONP 的原理是什么
后端将数据转换成js代码的格式,前端通过script标签接收来自后端的js代码再与前端已有的js代码一起运行实现跨域获取数据
题目4: CORS是什么
前端用 XMLHttpRequest 跨域访问时,浏览器会在请求头中添加:origin.后端会添加一个响应头:Access-Control-Allow-Origin浏览器判断该相应头中Access-Control-Allow-Origin的值是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。
题目5: 根据视频里的讲解演示三种以上跨域的解决方式
JSONP跨域
- a.html代码
<script>
var scri = document.createElement('script')
scri.src = 'http://gaoyang2:8080/alert?callBack=myalert'
document.head.appendChild(scri)
document.head.removeChild(scri)
function myalert(str){
alert(str)
}
</script>
- router.js代码
app.get('/alert', function(req, res) {
var call = req.query.callBack
var data = 'JSONP-跨域';
res.send(call+'('+JSON.stringify(data)+')');
});
CORS跨域
- a.html代码
<script>
var xhr = new XMLHttpRequest()
xhr.onreadystatechange = function(){
if (xhr.readyState === 4) {
if(xhr.status == 200 || xhr.status == 304){
alert(JSON.parse(xhr.responseText))
}
}
}
xhr.open('get','http://gaoyang2:8080/alert',true)
xhr.send();
</script>
- router.js代码
app.get('/alert', function(req, res) {
var data = 'CORS-跨域';
res.header("Access-Control-Allow-Origin", "http://gaoyang1:8080");
res.send(JSON.stringify(data));
});
降域(1.首先必须是有相同的一部分,2.相同的一部分必须域名的最后一部分3.降域的域名不能只有一个顶级域名)
- a.html代码
<body>
<input type="text" placeholder="a.html">
<iframe src="http://2.gaoyang.com:8080/b.html" frameborder="0"></iframe>
<script>
document.querySelector('input').addEventListener('input', function(){
window.frames[0].document.querySelector('input').value = this.value;
})
document.domain = 'gaoyang.com'
</script>
</body>
- b.html代码
<body>
<input type="text" placeholder="b.html">
<script>
document.querySelector('input').addEventListener('input', function(){
window.parent.document.querySelector('input').value = this.value;
})
document.domain = 'gaoyang.com'
</script>
</body>
postmessage
- a.html代码
<body>
<input type="text" placeholder="a.html">
<iframe src="http://2.gaoyang.com:8080/b.html" frameborder="0"></iframe>
<script>
document.querySelector('input').addEventListener('input', function(){
window.frames[0].postMessage(this.value,'*')
})
window.addEventListener('message',function(e) {
document.querySelector('input').value = e.data
});
</script>
</body>
- b.html代码
<body>
<input type="text" placeholder="b.html">
<script>
document.querySelector('input').addEventListener('input', function(){
window.parent.postMessage(this.value,'*')
})
window.addEventListener('message',function(e) {
document.querySelector('input').value = e.data
});
</script>
</body>
网友评论