同源策略(same origin Policy)###
浏览器出于安全方面的考虑,只允许与本域下的接口交互。(在没有明确授权的情况下)
本域
:同协议,同域名,同端口 ###
Jsonp
:通过script标签加载数据的的方式去获取数据当做JS代码来执行。提前在页面上声明一个函数,函数名通过接口传参的方式传给后台,后台解析到函数名后在原始数据上包裹这个和函数名,发送给前端。需要对应接口的后端的配合才能实现。
Cors
:当使用XMLHttpRequest发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-control-allow-Origin;浏览器判断该响应头中是否包含Origin的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。CORS的表象是让你觉得它与同源的AJAX请求没啥区别,代码完全一样
降域
:document.domain=‘’ 将当前域名降到‘’
Postmessage
:向当前的iframe内postMessage,对本域监听一个message
网友评论