跨域解决之JSONP和CORS的详细介绍

JSONP跨域和CORS跨域

什么是跨域？

跨域：指的是浏览器不能执行其它网站的脚本，它是由浏览器的同源策略形成的，是浏览器的安全限制！

同源策略

同源策略：域名、协议、端口均相同。

浏览器执行JavaScript脚本时，会检查这个脚本属于那个页面，若是不是同源页面，就不会被执行。

JSONP跨域

只支持GET请求，不支持POST等其它请求，也不支持复杂请求，只支持简单请求。

CORS跨域

支持全部的请求，包含GET、POST、OPTOIN、PUT、DELETE等。既支持复杂请求，也支持简单请求。

JSONP和CORS跨域理解

使用目的： JSONP与CORS的使用目的相同，而且都须要服务端和客户端同时支持，但CORS的功能更增强大。
JSONP（json with padding 填充式json）：利用了使用src引用静态资源时不受跨域限制的机制。主要在客户端搞一个回调作一些参数接收与操做的处理，并把这个回调函数告知服务器，而服务器端须要作的是按照JavaScript的语法把数据放到约定好的回调函数之中便可，jQuery很早以前就已经把JSONP语法糖化了，使用起来会更加方便。
CORS（Cross-origin resource sharing 跨域资源共享）：依附于AJAX，经过添加HTTP Header部分字段请求与获取有权限访问的资源。CORS对开发者是透明的，由于浏览器会自动根据请求的状况（简单和复杂）作出不一样的处理。CORS的关键是服务器端的配置支持，因为CORS是W3C中一项较“新”的方案，以致于各大网页解析引擎尚未对齐进行严格规格的实现，因此不一样引擎下可能会有一些不一致。

JSONP和CORS的优缺点

1. JSONP的主要优点在于对浏览器的支持较好；虽然目前主流浏览器都支持CORS，但IE9及如下不支持CORS。

2. JSONP只能用于获取资源（即只读，相似于GET请求）；CORS支持全部类型的HTTP请求，功能完善。（这点JSONP被玩虐，但大部分状况下GET已经能知足需求了）
JSONP的错误处理机制并不完善，咱们没办法进行错误处理；而CORS能够经过onerror事件监听错误，而且浏览器控制台会看到报错信息，利于排查。

3. JSONP只会发一次请求；而对于复杂请求，CORS会发两次请求。

4. 始终以为安全性这个东西是相对的，没有绝对的安全，也作不到绝对的安全。毕竟JSONP并非跨域规范，它存在很明显的安全问题：callback参数注入和资源访问受权设置。CORS好歹也算是个跨域规范，在资源访问受权方面进行了限制（Access-Control-Allow-Origin），并且标准浏览器都作了安全限制，好比拒绝手动设置origin字段，相对来讲是安全了一点。可是回过头来看一下，就算是不安全的JSONP，咱们依然能够在服务端端进行一些权限的限制，服务端和客户端也都依然能够作一些注入的安全处理，哪怕被攻克，它也只能读一些东西。就算是比较安全的CORS，一样能够在服务端设置出现漏洞或者不在浏览器的跨域限制环境下进行***，并且它不只能够读，还能够写。

应用场景

• 若是须要兼容IE低版本浏览器，无疑，JSONP。

• 若是须要对服务端资源进行操做，无疑，CORS。

• 其余状况的话，根据本身的对需求的分析来决定和使用。

相同协议、域名、端口下

• 页面在 http://localhost:3000/0

• 服务在 http://localhost:3000/1

• 控制台能正常输出 {name: '', sex: '', _stamp: ''}

views/0.ejs

<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>Document</title> <style> </style> </head> <body> <form action="/" onsubmit="return false"> <label for="name">NAME</label><input type="text" id="name" name="name"><br> <label for="sex">SEX</label><input type="text" id="sex" name="sex"><br> <input type="submit" value="SUBMIT"> </form> <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script> <script> $('form').on('submit', function(){ $.ajax({ url: 'http://localhost:3000/1', data: { name: $('#name').val(), sex: $('#sex').val() }, success: function(data){ console.log(data); } }) }) </script> </body> </html>

serve.js

const server = require('express')(); server.set('view engine', 'ejs'); server.get('/0', (req, res) => { res.render('0.ejs', {}); }) server.get('/1', (req, res) => { let {name, sex} = req.query; res.send({name, sex, _stamp: + new Date}); }) server.listen(3000);

JSONP

把0.ejs改成0.hmtl，直接打开或者在http://localhost:3001/views/0.html打开（3000端口被占用时运行$ browser-sync start --server --files '**'）

控制台报错 Access to XMLHttpRequest at 'http://localhost:3000/1?name=&sex=' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

jQuery 的 JSONP

0.html 的脚本改成

function jCb(data){ // 这个函数和ajax 的 success 一样能够操做 data console.log('你要的', data); } $('form').on('submit', function(){ $.ajax({ url: 'http://localhost:3000/1', data: { name: $('#name').val(), sex: $('#sex').val() }, dataType: 'jsonp', jsonpCallback: 'jCb', // 服务端 req.query.callback = 'jCb' success: function(data){ console.log(data); } }) })

server.js 注意返回客户端的字符串的拼接

const server = require('express')(); server.get('/1', (req, res) => { let {name, sex, callback} = req.query; var data = "{name: '', sex: '', _stamp: ''}"; // 而后再在单引号处拼接 data = "{name: '" + name + "', sex: '" + sex + "', _stamp:' " + Date.now() + "'}"; data = `{name: '${name}', sex: '${sex}', _stamp: '${+ new Date}'}` var resStr = callback + "()" resStr = callback + "(" + data + ")" console.log(callback, typeof callback); // jCb string console.log(resStr, typeof resStr); // jCb({name:'',sex:'',_stamp:'1542456915800'}) string res.send(resStr); }) server.listen(3000);

利用 script 标签

0.html

<script> function jCb(data) { console.log("jsonpCallback: " + data.name) } </script> <script src = 'http://localhost:3000/1?jsonp=jsonpCallback'></script> server.js server.get('/1', (req, res) => { var data = 'var data = {name: $("#name").val(), sex: $("#sex").val(), _stamp: + new Date };' var debug = 'console.log(data);' var callback = '$("form").submit(function(){' + data + req.query.jsonp + '(data);' + debug + '});' res.send(callback); })

CORS

html 代码仍是最初的代码，server.js 改变

server.get('/1', (req, res) => { // 设置能够请求的域名，"*" 表明全部域名 res.header("Access-Control-Allow-Origin", "http://localhost:3001"); // 设置所容许的HTTP请求方法。 res.header("Access-Control-Allow-Methods", "OPTIONS, GET, PUT, POST, DELETE"); // 字段是必需的。它也是一个逗号分隔的字符串，代表服务器支持的全部头信息字段。 res.header("Access-Control-Allow-Headers", "x-requested-with, accept, origin, content-type"); // 服务器收到请求之后，检查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段之后，确认容许跨源请求，就能够作出回应。 // Content-Type表示具体请求中的媒体类型信息。 res.header("Content-Type", "application/json;charset=utf-8"); // 该字段可选。它的值是一个布尔值，表示是否容许发送Cookie。默认状况下，Cookie不包括在CORS请求之中。 // 当设置成容许请求携带cookie时，须要保证"Access-Control-Allow-Origin"是服务器有的域名，而不能是"*"。 res.header("Access-Control-Allow-Credentials", true); // 该字段可选，用来指定本次预检请求的有效期，单位为秒。 // 当请求方法是PUT或DELETE等特殊方法或者Content-Type字段的类型是application/json时，服务器会提早发送一次请求进行验证 // 下面的的设置只本次验证的有效时间，即在该时间段内服务端能够不用进行验证 res.header("Access-Control-Max-Age", 300); /* CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段： Cache-Control、 Content-Language、 Content-Type、 Expires、 Last-Modified、 Pragma。 */ // 须要获取其余字段时，使用Access-Control-Expose-Headers， // getResponseHeader('myData')能够返回咱们所需的值 res.header("Access-Control-Expose-Headers", "myData"); let {name, sex} = req.query; res.send({name, sex, _stamp: + new Date}); })

参考文章:

• 跨域请求两种方法 jsonp和cors的实现

• 快速解决跨域请求问题:jsonp和CORS

文章同步发布： https://www.geek-share.com/detail/2753888135.html