跨域的原因
浏览器出于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
需要注意的是: 对于当前页面来说页面存放的 JS 文件的域不重要,重要的是加载该 JS 页面所在什么域
跨域的几种方法
-
JSOP
JSONP是通过 script 标签加载数据的方式去获取数据当做 JS 代码来执行 提前在页面上声明一个函数,函数名通过接口传参的方式传给后台,后台解析到函数名后在原始数据上「包裹」这个函数名,发送给前端。换句话说,JSONP 需要对应接口的后端的配合才能实现。
jsonp实例.png
本实例中点击按钮后创建 script 标签,通过js方式来获取数据,数据解析过程如下:
从js文件中获取到 news 中的数据后,先给文件添加数据类型以便浏览器判断,然后再判断是否使用callback函数,如果使用,就通过JSON.stringify()方法将数组中的数据转换成 一个JSON 字符串的值然后两边加上 ' ( ' 和 ' ) ' 并返回,再将发送数据通过 appendHtml 函数添加到 ul 标签中。
-
CORS
CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。 实现方式很简单,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。
cors实例.png
res.setHeader('Access-Control-Allow-Origin','http://localhost:8080')
//允许localhost地址进行跨域
res.setHeader('Access-Control-Allow-Origin','*')
//允许所有人使用这个数据
-
降域
降域实例.png
域名为http://b.jrg.com:8080/b.html的网页以iframe的形式嵌在域名为http://a.jrg.com:8080/a.html的网页中,它们来自不同的域名,正常情况下不能进行跨域访问。
但是当我们为两个页面都加上这样一句代码:
document.domain = 'jrg.com';
这时候这两个页面就位于同一个域名下面了,就可以在页面a中对页面b进行操作了,两个页面可以互相访问。
但是这个方法有个限制,就是两个域名要有相同对的部分才可以,比如这个例子中的就都含有jrg.com这一部分。
网友评论