跨域

作者: 魔王卡卡 | 来源:发表于2017-10-17 14:40 被阅读0次

题目1: 什么是同源策略

浏览器基于安全方面的考虑,只允许与本域下的接口交互,不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源,这就是浏览器的同源策略。
本域指的是:

  1. 同协议: 如都是 httphttps
  2. 同域名: 如 http://abc.com/ahttp://abc.com/b 的域名都是 http://abc.com
  3. 同端口: 如端口都是 80

简单来说就是URL字符串必须完全匹配才能被称为同源,否则就不是同源。
需要注意的是,对于当前页面来说页面存放的JS文件的域不重要,重要的是加载该JS的页面所在的域是什么。


题目2: 什么是跨域?跨域有几种实现形式

浏览器的同源策略是导致跨域的根本原因。同源策略又分为两种情况:

  1. DOM同源策略:禁止对不同源页面DOM进行操作。这里主要场景是iframe跨域的情况,不同域名的iframe是限制互相访问的。
  2. XmlHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求。

只要协议、域名、端口有任何一点不同,都会被当作不同的域,两者之间的请求就是跨域操作。

跨域有以下几种实现形式:

  1. JSONP
  2. CORS
  3. 降域
  4. postMessage

题目3: JSONP 的原理是什么

html 中, script 标签可以引入其他域下的JS,利用这个特性,在后端支持的情况下,可以实现跨域访问接口

  1. 定义数据处理函数_fun
  2. 创建script标签,src的地址执行后端接口,最后加个参数callback=_fun
  3. 服务端在收到请求后,解析参数,计算返还数据,输出 fun(data) 字符串。
  4. fun(data)会放到script标签做为js执行。此时会调用fun函数,将data做为参数。

参考文章
jsonp原理详解——终于搞清楚jsonp是啥了


题目4: CORS是什么

CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。 实现方式很简单,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。

题目5: 根据视频里的讲解演示三种以上跨域的解决方式 ,写成博客

跨越的三种实现方式

相关文章

网友评论

      本文标题:跨域

      本文链接:https://www.haomeiwen.com/subject/lujduxtx.html