1、为何会有跨域问题?javascript
是由于浏览器的同源策略是对ajax请求进行阻拦了,可是不是全部的请求都给作跨域,像是通常的href属性,a标签什么的都不拦截。html
2、解决跨域问题的两种方式前端
- JSONP
- CORS
3、JSONPjava
先简单来讲一下JSONP,具体详细详见上面JSONPpython
JSONP是json用来跨域的一个东西。原理是经过script标签的跨域特性来绕过同源策略。(建立一个回调函数,而后在远程服务上调用这个函数而且将json数据形式做为参数传递,完成回调)。jquery
4、CORS跨域web
随着技术的发展,如今的浏览器能够主动支持设置从而容许跨域请求,即:跨域资源共享(CORS,Cross-Origin Resource Sharing),其本质是设置响应头,使得浏览器容许跨域请求。ajax
一、简单请求和复杂请求django
条件:
一、请求方式:HEAD、GET、POST
二、请求头信息:
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type 对应的值是如下三个中的任意一个
application/x-www-form-urlencoded
multipart/form-data
text/plain
注意:同时知足以上两个条件时,则是简单请求,不然为复杂请求
二、简单请求和复杂请求的区别?json
简单请求:一次请求
非简单请求:两次请求,在发送数据以前会先发第一次请求作‘预检’,只有‘预检’经过后才再发送一次请求用于数据传输。
三、关于预检
- 请求方式:OPTIONS
- “预检”其实作检查,检查若是经过则容许传输数据,检查不经过则再也不发送真正想要发送的消息
- 如何“预检”
=> 若是复杂请求是PUT等请求,则服务端须要设置容许某请求,不然“预检”不经过
Access-Control-Request-Method
=> 若是复杂请求设置了请求头,则服务端须要设置容许某请求头,不然“预检”不经过
Access-Control-Request-Headers
四、CORS的优缺点
- CORS的优势:能够发任意请求
- CORS的缺点:上是复杂请求的时候得先作个预检,再发真实的请求。发了两次请求会有性能上的损耗
5、JSONP和CORS的区别
JSONP:服务端不用修改,须要改前端。发jsonp请求
JSONP:只能发GET请求
CORS:前端的代码不用修改,服务端的代码须要修改。若是是简单请求的话在服务端加上一个响应头。
CORS:能够发任意请求
6、基于CORS实现ajax请求
一、支持跨域,简单请求
客户端
index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width">
<title>Title</title>
</head>
<body>
<div>
<h1>欢迎来到个人主页</h1>
<button onclick="getData()">获取用户数据</button>
</div>
<script src="/static/jquery-1.12.4.min.js"></script>
<script>
function getData() {
$.ajax({
url:'http://127.0.0.1:8080/index/',
type:"GET",
success:function (data) {
console.log(data)
}
})
}
</script>
</body>
</html>
服务端
views.py
from django.shortcuts import render
from django.http import JsonResponse
from rest_framework.views import APIView
# Create your views here.
class IndexView(APIView):
def get(self,request,*args,**kwargs):
ret = {
'code': 111,
'data': '你好吗?'
}
response = JsonResponse(ret)
response['Access-Control-Allow-Origin'] = "*"
return response
二、支持跨域,复杂请求
若是是复杂请求在你真正的发请求以前,会先偷偷的发一个OPTION请求,先预检一下,我
容许你来你才来
若是想预检经过就得写个option请求
user.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width">
<title>Title</title>
</head>
<body>
<input type="button" value="获取用户数据" onclick="getUser()">
<script src="/static/jquery-1.12.4.min.js"></script>
<script>
function getUser() {
$.ajax({
url:'http://127.0.0.1:8080/user/',
type:'POST',
data:{'k1':'v1'},
headers:{
'h1':'sdfdgfdg'
},
success:function (ret) {
console.log(ret)
}
})
}
</script>
</body>
</html>
user.html
服务端
from django.shortcuts import render,HttpResponse
from django.http import JsonResponse
from rest_framework.views import APIView
class UserIndex(APIView):
def get(self,request,*args,**kwargs):
ret = {
'code': 111,
'data': '你好吗?'
}
response = JsonResponse(ret)
response['Access-Control-Allow-Origin'] = "*"
return response
def post(self,request,*args,**kwargs):
print(request.POST.get('k1'))
ret = {
'code':1000,
'data':'过年啦',
}
response = JsonResponse(ret)
response['Access-Control-Allow-Origin'] = "*"
return response
def options(self, request, *args, **kwargs):
# self.set_header('Access-Control-Allow-Origin', "http://www.xxx.com")
# self.set_header('Access-Control-Allow-Headers', "k1,k2")
# self.set_header('Access-Control-Allow-Methods', "PUT,DELETE")
# self.set_header('Access-Control-Max-Age', 10)
response = HttpResponse()
response['Access-Control-Allow-Origin'] = '*'
response['Access-Control-Allow-Headers'] = 'h1'
# response['Access-Control-Allow-Methods'] = 'PUT'
return response
因为复杂请求时,首先会发送“预检”请求,若是“预检”成功,则发送真实数据。
- “预检”请求时,容许请求方式则需服务器设置响应头:Access-Control-Request-Method
- “预检”请求时,容许请求头则需服务器设置响应头:Access-Control-Request-Headers
- “预检”缓存时间,服务器设置响应头:Access-Control-Max-Age
三、跨域获取响应头
默认获取到的全部响应头只有基本信息,若是想要获取自定义的响应头,则须要再服务器端设置Access-Control-Expose-Headers。
a.html
<!DOCTYPE html>
<html>
<head lang="en">
<meta charset="UTF-8">
<title></title>
</head>
<body>
<p>
<input type="submit" onclick="XmlSendRequest();" />
</p>
<p>
<input type="submit" onclick="JqSendRequest();" />
</p>
<script type="text/javascript" src="jquery-1.12.4.js"></script>
<script>
function XmlSendRequest(){
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function(){
if(xhr.readyState == 4) {
var result = xhr.responseText;
console.log(result);
// 获取响应头
console.log(xhr.getAllResponseHeaders());
}
};
xhr.open('PUT', "http://c2.com:8000/test/", true);
xhr.setRequestHeader('k1', 'v1');
xhr.send();
}
function JqSendRequest(){
$.ajax({
url: "http://c2.com:8000/test/",
type: 'PUT',
dataType: 'text',
headers: {'k1': 'v1'},
success: function(data, statusText, xmlHttpRequest){
console.log(data);
// 获取响应头
console.log(xmlHttpRequest.getAllResponseHeaders());
}
})
}
</script>
</body>
</html>
HTML
views.py
class MainHandler(tornado.web.RequestHandler):
def put(self):
self.set_header('Access-Control-Allow-Origin', "http://www.xxx.com")
self.set_header('xxoo', "seven")
self.set_header('bili', "daobidao")
self.set_header('Access-Control-Expose-Headers', "xxoo,bili")
self.write('{"status": true, "data": "seven"}')
def options(self, *args, **kwargs):
self.set_header('Access-Control-Allow-Origin', "http://www.xxx.com")
self.set_header('Access-Control-Allow-Headers', "k1,k2")
self.set_header('Access-Control-Allow-Methods', "PUT,DELETE")
self.set_header('Access-Control-Max-Age', 10)
四、跨域传输cookie
在跨域请求中,默认状况下,HTTP Authentication信息,Cookie头以及用户的SSL证书不管在预检请求中或是在实际请求都是不会被发送。
若是想要发送:
- 浏览器端:XMLHttpRequest的withCredentials为true
- 服务器端:Access-Control-Allow-Credentials为true
- 注意:服务器端响应的 Access-Control-Allow-Origin 不能是通配符 *
b.html
<!DOCTYPE html>
<html>
<head lang="en">
<meta charset="UTF-8">
<title></title>
</head>
<body>
<p>
<input type="submit" onclick="XmlSendRequest();" />
</p>
<p>
<input type="submit" onclick="JqSendRequest();" />
</p>
<script type="text/javascript" src="jquery-1.12.4.js"></script>
<script>
function XmlSendRequest(){
var xhr = new XMLHttpRequest();
xhr.onreadystatechange = function(){
if(xhr.readyState == 4) {
var result = xhr.responseText;
console.log(result);
}
};
xhr.withCredentials = true;
xhr.open('PUT', "http://c2.com:8000/test/", true);
xhr.setRequestHeader('k1', 'v1');
xhr.send();
}
function JqSendRequest(){
$.ajax({
url: "http://c2.com:8000/test/",
type: 'PUT',
dataType: 'text',
headers: {'k1': 'v1'},
xhrFields:{withCredentials: true},
success: function(data, statusText, xmlHttpRequest){
console.log(data);
}
})
}
</script>
</body>
</html>
HTML
views.py
class MainHandler(tornado.web.RequestHandler):
def put(self):
self.set_header('Access-Control-Allow-Origin', "http://www.xxx.com")
self.set_header('Access-Control-Allow-Credentials', "true")
self.set_header('xxoo', "seven")
self.set_header('bili', "daobidao")
self.set_header('Access-Control-Expose-Headers', "xxoo,bili")
self.set_cookie('kkkkk', 'vvvvv');
self.write('{"status": true, "data": "seven"}')
def options(self, *args, **kwargs):
self.set_header('Access-Control-Allow-Origin', "http://www.xxx.com")
self.set_header('Access-Control-Allow-Headers', "k1,k2")
self.set_header('Access-Control-Allow-Methods', "PUT,DELETE")
self.set_header('Access-Control-Max-Age', 10)