题目1: 什么是同源策略
浏览器基于安全方面的考虑,只允许与本域下的接口交互,不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源,这就是浏览器的同源策略。
本域指的是:
- 同协议: 如都是
http
或https
- 同域名: 如
http://abc.com/a
和http://abc.com/b
的域名都是http://abc.com
- 同端口: 如端口都是 80
简单来说就是URL字符串必须完全匹配才能被称为同源,否则就不是同源。
需要注意的是,对于当前页面来说页面存放的JS文件的域不重要,重要的是加载该JS的页面所在的域是什么。
题目2: 什么是跨域?跨域有几种实现形式
浏览器的同源策略是导致跨域的根本原因。同源策略又分为两种情况:
- DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的。
- XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求。
只要协议、域名、端口有任何一点不同,都会被当作不同的域,两者之间的请求就是跨域操作。
跨域有以下几种实现形式:
- JSONP
- CORS
- 降域
- postMessage
题目3: JSONP 的原理是什么
在 html
中, script
标签可以引入其他域下的JS,利用这个特性,在后端支持的情况下,可以实现跨域访问接口
- 定义数据处理函数_fun
- 创建script标签,src的地址执行后端接口,最后加个参数callback=_fun
- 服务端在收到请求后,解析参数,计算返还数据,输出 fun(data) 字符串。
- fun(data)会放到script标签做为js执行。此时会调用fun函数,将data做为参数。
题目4: CORS是什么
CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。 实现方式很简单,当你使用 XMLHttpRequest
发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin
,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin
; 浏览器判断该相应头中是否包含 Origin
的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。
网友评论