什么是同源策略
同源策略是浏览器的安全限制,即非同域的脚本无法互相获取资源。这是为了保护用户隐私,防止恶意行为。
两个URL同协议、同域名、同端口,则表示他们同源。
在非同源情况下:
Cookie,localStrage,IndexedDb
DOM 无法获取
Ajax请求无法发送
什么是跨域?跨域有几种实现形式
跨域:绕过浏览器的同源限制访问其他域名的资源
跨域实现形式:
JSONP
CORS
降域
postMassage
JSONP 的原理是什么
利用script标签可以跨域接受响应的原理。
需要服务端支持,服务端将数据用回调函数包裹起来,发送到页面作为js代码执行函数。
步骤:
- 定义数据处理函数_fun
- 创建script标签,src的地址执行后端接口,最后加个参数callback=_fun
- 服务端在收到请求后,解析参数,计算返还数据,输出 fun(data) 字符串。
- fun(data)会放到script标签做为js执行。此时会调用fun函数,将data做为参数。
缺点:
只能发起GET请求
比起AJAX,支持不够全面。无法通过注册一些事件监听函数进行其他处理。
需确定访问的异域服务器不会返回恶意的代码
需注意抵御CSRF漏洞:网站通过JSONP跨域传递用户认证后的敏感信息时,攻击者可以构造恶意的JSONP调用页面,诱导被攻击者访问,以达到截取用户敏感信息的目的。
CORS是什么
在CORS中的请求分为两种:简单请求和复杂请求
** 简单请求: **
- 只使用GET,HEAD或者POST。如果使用POST来发送数据到服务器,那么使用HTTP POST请求发送到服务器的数据的Content-Type为以下几种之一:application/x-www-form-urlencoded,multipart/form-data以及text/plain。
- 不使用HTTP请求发送定制请求头(例如X-Modified等)
在简单请求下,我们只需设置Access-Control-Allow-Origin头部即可。
**复杂请求 **
- 使用了除GET,HEAD和POST以外的方法。如果使用POST方法发送请求数据时的Content-Type不是application/x-www-form-urlencoded,multipart/form-data或者text/plaint。例如,如果POST请求向服务器使用application/xml或者text/xml向服务器发送请求,那么这个请求就是preflighted的。
- 设置了定制请求头的请求(例如,请求使用了例如X-PINGOTHER这样的请求头)
这类请求在发送正式请求之前会发送一个Preflighted(预请求),Preflighted请求首先通过HTTP OPTIONS方法请求其他域上的资源,以确定发送实际的请求是否安全。这样做,是因为跨站请求可能会对目的站点的数据造成破坏。我们第二次发的请求是一个复杂请求,服务端没有响应options的方法,导致预请求失败,之后的请求也就终止了。
参考:http://www.qdfuns.com/notes/16837/7f24c8d1eb39750897060f0b12fa3855.html
网友评论