题目1: 什么是同源策略
同源策略(Same origin Policy): 浏览器出于安全方面的考虑,只允许与本域下的接口交互。不同源的客户端脚本在没有明确授权的情况下,不能读写对方的资源。
同源即同域。包括
- 协议。常见:http\https\file(本地)\ssh\ftp。
- 域名(协议后至第一个
/前)。 - 端口。不写就是默认80端口。如果一个写了80而一个没有写,要看浏览器如何配置。
上述三者全部相同,即同源.
需要注意的是: 对于当前页面来说页面存放的 JS 文件的域不重要,重要的是加载该 JS 页面所在什么域
题目2: 什么是跨域?跨域有几种实现形式
跨域,指的是突破同源策略的限制,本源的客户端脚本访问其他源的数据。
实现形式:
- JSONP
- CORS
- 降域
- window.postMessage()
题目3: JSONP 的原理是什么
实现原理: <script>标签里可以引入其他域下的js。
前端:
- 在html里创建一个
<script>标签,设置src为请求地址同时传给他一个callback,并把标签放入<head>里,然后删除(否则事件每触发一次就会加一个标签) - JS中有一个与callback对应的函数,用于处理返回的数据
后端: - 准备数据.拿到callback的参数,把要传递的内容转换成JSON格式的字符串加上函数名。就是把数据包一下,用函数的形式返回,而html里刚好有一个同名的可执行的函数。
优点:在本地也可以执行。
题目4: CORS是什么
CORS 全称是跨域资源共享(Cross-Origin Resource Sharing),是一种 ajax 跨域请求资源的方式,支持现代浏览器,IE支持10以上。
实现方式很简单,当你使用 XMLHttpRequest 发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin; 浏览器判断该相应头中是否包含 Origin 的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。
所以 CORS 的表象是让你觉得它与同源的 ajax 请求没啥区别,代码完全一样。
题目5: 根据视频里的讲解演示三种以上跨域的解决方式
JSONP
代码:
<!--client-side-->
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
<title>news</title>
<style>
.container{
width: 900px;
margin: 0 auto;
}
</style>
</head>
<body>
<div class="container">
<ul class="news">
<li>第11日前瞻:中国冲击4金 博尔特再战</li>
<li>男双力争会师决赛 </li>
<li>女排将死磕巴西!</li>
</ul>
<button class="change">换一组</button>
</div>
<script>
$('.change').addEventListener('click', function(){
var script = document.createElement('script');
script.src = 'http://a.jjj.com:8080/getNews?callback=appendHTML'
document.head.appendChild(script)
document.head.removeChild(script)
})
function appendHTML(data){
var html = ''
for(var i=0; i<data.length; i++){
html += '<li>' + data[i] + '</li>'
}
$('.news').innerHTML = html
}
function $(id){
return document.querySelector(id);
}
</script>
</html
//router.js
app.get('/getNews', function(req, res){
var news = [
"第11日前瞻:中国冲击4金 博尔特再战200米羽球",
"正直播柴飚/洪炜出战 男双力争会师决赛",
"女排将死磕巴西!郎平安排男陪练模仿对方核心",
"没有中国选手和巨星的110米栏 我们还看吗?",
"中英上演奥运金牌大战",
"博彩赔率挺中国夺回第二纽约时报:中国因对手服禁药而丢失的奖牌最多",
"最“出柜”奥运?同性之爱闪耀里约",
"下跪拜谢与洪荒之力一样 都是真情流露"
]
var data = [];
for(var i=0; i<3; i++){
var index = parseInt(Math.random()*news.length);
data.push(news[index]);
news.splice(index, 1);
}
var cb = req.query.callback
if(cb){
res.send(cd + '(' + JSON.stringify(data) + ')')
}else{
res.send(data)
}
})
CORS
res.header("Access-Control-Allow-Origin", "http://a.jjj.com:8080"); //允许该网站请求数据
降域
两个网址a.jjj.com和b.jjj.com有相同的部分,所以可以降域到jjj.com
document.domain = "jjj.com"
postMessage
window.postMessage() 语法:otherWindow.postMessage(message, targetOrigin, [transfer]);
- otherWindow: 其他窗口的一个引用,比如iframe的contentWindow属性、执行window.open返回的窗口对象、或者是命名过或数值索引的window.frames。
- message: 将要发送到其他window的数据。
-
targetOrigin: 通过窗口的origin属性来指定哪些窗口能接收到消息事件,其值可以是字符串"*"(表示无限制)或者一个URI。
//a.html
$('.main input').addEventListener('input', function(){
console.log(this.value);
window.frames[0].postMessage(this.value,'*'); // 允许所有域名的请求
})
window.addEventListener('message',function(e) {
$('.main input').value = e.data
console.log(e.data);
});
网友评论