一、浏览器同源政策
“同源”:协议相同、域名相同、端口相同
"同源的目的":只有在一个服务器上的文件才能互相交互,多个服务器之间的文件禁止
1995年,同源政策由Netscape公司引入浏览器,最初的目的是某页面所设置的cookie,只能由其“同源”页面打开。如果两个页面拥有相同的协议、域名和端口,那么这两个页面就属于同一个源,其中只要有一个不相同,就是不同源。
举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是www.example.com,端口是80(默认端口可以省略)。它的同源情况如下。
| http://www.example.com/dir2/other.html | 同源 |
| http://example.com/dir/other.html | 不同源(域名不同) |
| http://v2.www.example.com/dir/other.html | 不同源(域名不同) |
| http://www.example.com:81/dir/other.html | 不同源(端口不同) |
目的:同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据
限制:随着互联网的发展,“同源政策”越来越严格。目前,如果非同源,共有三种行为受到限制:
(1)Cookie、LocalStorage和IndexDB无法读取。
(2)DOM无法获取
(3)AJAX请求不能发送
凡是都有利有弊,尽管限制是有必要的,但在有些情况下合理的用途也会因“同源政策”而受到影响。因此我将要为大家介绍的一些规避上述限制的手段,就是【跨域】的由来。
二、ajax跨域
Ajax跨域指的是将Ajax请求进行跨域处理,而不是说在Ajax中提供 了跨域的方法。同源政策中明确规定Ajax请求只能发给同源的网址,否则就会发生跨域报错。除了设置代理之外页面中有三种常见的解决跨域的手段
①设置服务端响应头
②代理
③JSONP
三、JSONP跨域(只支持get请求)
JSONP是服务器与客户端跨源通信的最常用方法。最大特点就是简单适用,老式浏览器全部支持,对服务器改造非常小。
本质:实际利用了script标签引入js文件,并解释执行的原理
使用方法
①、在html中插入script标签,并利用script标签发起跨源请求
②、在服务器对应php文件中通过拼接字符串,模拟函数调用。并将要返回数据通过回调函数参数返回。
③、在html页面中,显式写出回调函数。这样当跨源请求完成后对应回调函数会自动执行。
优点:
(1)由于使用script脚本作为请求,因此实际上请求和传统的引入js脚本没有任何区别。
(2)而在返回的数据中我们也尽量模拟出了js调用函数的语法,因此只要在页面中声明了回调函数就会自动被调用。
(3)再者作为参数的【服务器端】的JSON数据,在js中是被直接识别为对象,因此在回调函数中也避免了使用JSON.parse的步骤。
四、面试点
(1)为什么JSONP不是真正的AJAX
JSONP是通过Script中的SRC属性携带参数传递数据,跟XMLHttpRequest对象没有任何关系。
实质不同:
ajax核心是通过XMLHttpRequest获取非本页内容
jsonp的核心是动态添加script标签调用服务器提供的js脚本
jsonp只支持get请求,ajax支持get和post请求