同源策略和Jsonp、CORS跨域
1、同源策略
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,若是缺乏了同源策略,则浏览器的正常功能可能都会受到影响。能够说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。javascript
同源策略,它是由Netscape提出的一个著名的安全策略。如今全部支持JavaScript 的浏览器都会使用这个策略。所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪一个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。若是非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。css
一、跨域示例
端口8006:点击按钮跨域访问
############# urls #############
from django.contrib import admin
from django.urls import path
from app01 import views
urlpatterns = [
path('admin/', admin.site.urls),
path('index/', views.index),
path('service/', views.service),
]
############# 视图 #############
from django.shortcuts import render, HttpResponse
# Create your views here.
def index(request):
return render(request, "index.html")
def service(request):
return HttpResponse("技师alex")
############# index.html #############
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h3>INDEX</h3>
<button class="get_service">洗剪吹</button>
<script src="https://code.jquery.com/jquery-3.3.1.js"></script>
<script>
$(".get_service").click(function () {
$.ajax({
// url: "/service/",
url: "http://127.0.0.1:8008/service/", // 跨域访问
success:function(data){
console.log(data);
}
})
})
</script>
</body>
</html>
端口8008:点击按钮同域访问
############# urls #############
from django.contrib import admin
from django.urls import path
from app01 import views
urlpatterns = [
path('admin/', admin.site.urls),
path('index/', views.index),
path('service/', views.service),
]
############# 视图 #############
from django.shortcuts import render, HttpResponse
# Create your views here.
def index(request):
return render(request, "index.html")
def service(request):
print("技师egon")
return HttpResponse("技师alex")
############# index.html #############
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h3>INDEX</h3>
<button class="get_service">洗剪吹</button>
<script src="https://code.jquery.com/jquery-3.3.1.js"></script>
<script>
$(".get_service").click(function () {
$.ajax({
url: "/service/",
success:function(data){
console.log(data);
}
})
})
</script>
</body>
</html>
测试验证:
(1)跨域访问报错html
(2)同域访问正常前端
(3)跨域访问虽然被拦截了,可是目标服务视图函数有执行打印。说明跨域时,请求能够发送过去,可是返回给浏览器时被拦截。vue
项目2中的访问已经发生了,说明是浏览器对非同源请求返回的结果作了拦截。java
二、script标签的跨域特性
思考:这算怎么回事?python
<script src="https://code.jquery.com/jquery-3.3.1.js"></script>
script标签自己就能够访问其它域的资源,不受浏览器同源策略的限制,能够经过在页面动态建立script标签。jquery
src:该属性指定外部JavaScript文件的地址,能够跨域。若是指定了该属性,那么script标签中的内容就会被忽略。ios
2、Jsonp
JSONP(JSON with Padding)是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。因为同源策略,通常来讲位于 server1.example.com 的网页没法与不是 server1.example.com的服务器沟通,而 HTML 的<script> 元素是一个例外。利用 <script> 元素的这个开放策略,网页能够获得从其余来源动态产生的 JSON 资料,而这种使用模式就是所谓的 JSONP。用 JSONP 抓到的资料并非 JSON,而是任意的JavaScript,用 JavaScript 直译器执行而不是用 JSON 解析器解析。ajax
一、借助script标签实现跨域请求
(1)发送跨域请求并处理
端口8006发送跨域请求:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h3>INDEX</h3>
<button class="get_service">洗剪吹</button>
<script>
function egon(arg) {
console.log(arg);
console.log(typeof arg);
var data = JSON.parse(arg);
console.log(data);
console.log(typeof data);
}
</script>
<script src="https://code.jquery.com/jquery-3.3.1.js"></script>
<script src="http://127.0.0.1:8008/service/"></script>
<script>
// $(".get_service").click(function () {
// $.ajax({
// // url: "http://127.0.0.1:8006/service/",
// url: "http://127.0.0.1:8008/service/",
// success:function(data){
// console.log(data);
// }
// })
// })
</script>
</body>
</html>
端口8008处理请求返回数据:
def service(request):
print("技师egon")
info = {"name": "egon", "age": 34, "price": 200}
return HttpResponse("egon('%s')" % json.dumps(info))
(2)显示效果
访问127.0.0.1:8006/index,浏览器控制台输出以下:
访问127.0.0.1:8008/index,并点击按钮,浏览器控制台输出以下:
(3)示例现象总结
这其实就是JSONP的简单实现模式,或者说是JSONP的原型:建立一个回调函数,而后在远程服务上调用这个函数而且将JSON 数据形式做为参数传递,完成回调。
将JSON数据填充进回调函数,这就是JSONP的JSON+Padding的含义。
通常状况下,咱们但愿这个script标签可以动态的调用,而不是像上面由于固定在html里面因此没等页面显示就执行了,很不灵活。咱们能够经过javascript动态的建立script标签,这样咱们就能够灵活调用远程服务了。
二、利用javascript动态建立script标签实现跨域请求
<body>
<h3>INDEX</h3>
<button class="get_service">洗剪吹</button>
<script src="https://code.jquery.com/jquery-3.3.1.js"></script>
<script>
function egon(arg) {
console.log(arg);
console.log(typeof arg);
var data = JSON.parse(arg);
console.log(data);
console.log(typeof data);
}
function get_jsonp_data(url) {
// DOM操做建立一个script标签
var ele_script = $("<script>");
ele_script.attr("src", url);
ele_script.attr("class", "jsonp"); // 给script标签添加class="jsonp"属性
$("body").append(ele_script);
$("#jsonp").remove(); // 删除刚刚建立的script标签
}
$(".get_service").click(function () {
get_jsonp_data("http://127.0.0.1:8008/service/");
})
</script>
</body>
(1)客户端函数名必须和服务端函数名保持一致,缺少灵活性
function egon(arg){}函数名必须和8008的service视图中HttpResponse("egon('%s')" % json.dumps(info))保持一致
def service(request):
print("技师egon")
info = {"name": "egon", "age": 34, "price": 200}
return HttpResponse("egon('%s')" % json.dumps(info))
(2) 在客户端定义的回调函数的函数名传送给服务端,增长灵活性
8006端口index.html修改点击事件:
$(".get_service").click(function () {
get_jsonp_data("http://127.0.0.1:8008/service/?callbacks=alex");
})
习惯上把这个get方法提交的数据命名为callbacks告诉其余人这是回调函数名。这里将函数名修改成了alex,对应的函数名也要修改成相同名称:
function alex(arg) {
console.log(arg);
console.log(typeof arg);
var data = JSON.parse(arg);
console.log(data);
console.log(typeof data);
}
8008端口视图修改以下:
def service(request):
print("技师egon")
func = request.GET.get("callbacks")
print(func)
info = {"name": "egon", "age": 34, "price": 200}
return HttpResponse("%s('%s')" % (func, json.dumps(info)))
(3)经过DOM操做建立并删除script标签
function get_jsonp_data(url) {
// DOM操做建立一个script标签
var ele_script = $("<script>");
ele_script.attr("src", url);
ele_script.attr("class", "jsonp"); // 给script标签添加class="jsonp"属性
$("body").append(ele_script);
$("#jsonp").remove(); // 删除刚刚建立的script标签
}
这样点击按钮,生成的script标签会立马删除,可是跨域请求已经发送完成。
3、jQuery对JSONP的实现
一、getJSON
jQuery框架也固然支持JSONP,可使用$.getJSON(url,[data],[callback])方法.
8001的html改成:
<button onclick="f()">洗剪吹</button>
<script>
function f(){
$.getJSON("http://127.0.0.1:8008/service/?callbacks=?",function(arg){
alert("hello"+arg)
});
}
</script>
8002的views不改动。
结果是同样的,要注意的是在url的后面必须添加一个callback参数,这样getJSON方法才会知道是用JSONP方式去访问服务,callback后面的那个问号是内部自动生成的一个回调函数名。
此外,若是说咱们想指定本身的回调函数名,或者说服务上规定了固定回调函数名该怎么办呢?咱们可使用$.ajax方法来实现
二、$.ajax(用jquery封装,利用script标签模拟ajax请求)
8006的index.html改成:
<script>
function alex(arg) {
console.log(arg);
console.log(typeof arg);
var data = JSON.parse(arg);
console.log(data);
console.log(typeof data);
}
$(".get_service").click(function () {
$.ajax({
url: "http://127.0.0.1:8008/service/",
type: "get",
dataType: 'jsonp', // 伪ajax, 基于script标签建立
jsonp: "callbacks", // 请求的键
jsonpCallback: "alex" // 请求的值,具体函数的名字
})
})
</script>
注意:
(1)利用script标签发送请求,所以只能是get请求。 JSONP必定是GET请求。
(2)将ajax请求中的dataType属性设置为“jsonp”,jsonp是专门用来解决跨域访问而诞生的。
(3)8008的views不须要改动。
(4)jsonp: 'callbacks'就是定义一个存放回调函数的键,jsonpCallback是前端定义好的回调函数方法名'alex',server端接受callback键对应值后就能够在其中填充数据打包返回了;
经过回调函数来处理(简化形式)
<script>
$(".get_service").click(function () {
$.ajax({
url: "http://127.0.0.1:8008/service/",
type: "get",
dataType: 'jsonp', // 必须有,告诉server,此次访问要的是一个jsonp的结果。
jsonp: "callbacks", //jQuery帮助随机生成的:callbacks="随机函数名"
// jsonpCallback: "alex" // 请求的值,具体函数的名字
success: function (data) {
console.log(data);
}
})
})
</script>
注意:
(1)jsonpCallback参数能够不定义,jquery会自动定义一个随机名发过去,那前端就得用回调函数来处理对应数据了。利用jQuery能够很方便的实现JSONP来进行跨域访问。
(2)随机生成的函数名以下所示:
三、应用示例
有乱码页面以下所示:
获取该页面数据处理以下:
body>
<h3>INDEX</h3>
<button class="get_service">洗剪吹</button>
<script src="https://code.jquery.com/jquery-3.3.1.js"></script>
<script>
// 应用
$(".get_service").click(function () {
$.ajax({
url: "http://www.jxntv.cn/data/jmd-jxtv2.html",
type: "get",
dataType: 'jsonp', // 必须有,告诉server,此次访问要的是一个jsonp的结果。
jsonp: "callbacks", //jQuery帮助随机生成的:callbacks="随机函数名"
jsonpCallback: "list",
success: function (data) {
console.log(data);
// 处理数据
var html = "";
$.each(data.data, function (index, weekday) {
console.log(weekday); // { week:"周日", list: Array(19) }
// 构建p标签,取到周一到周日
html += "<ul>"+weekday.week+"</ul>";
// 循环处理list: Array(19), 列表中每一条数据格式:{time: "0030", name: "通宵剧场六集连播", link: "http://www.jxntv.cn/live/jxtv2.shtml"}
$.each(weekday.list, function (j, show) { // show是一个个字典
html += "<li><a href="+show.link+">"+show.name+"</a>"+
" <span>"+show.time+"</span></li>";
})
});
// 将p标签添加到页面body中
$("body").append(html);
}
})
})
</script>
</body>
点击按钮后,页面显示以下:
4、CORS(跨域资源共享)
随着技术的发展,如今的浏览器能够支持主动设置从而容许跨域请求,即:跨域资源共享(CORS,Cross-Origin Resource Sharing),其本质是设置响应头,使得浏览器容许跨域请求。
跨域请求分为两种:简单请求、复杂请求。
一、简介
CORS须要浏览器和服务器同时支持。目前,全部浏览器都支持该功能,IE浏览器不能低于IE10。
整个CORS通讯过程,都是浏览器自动完成,不须要用户参与。对于开发者来讲,CORS通讯与同源的AJAX通讯没有差异,代码彻底同样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感受。
所以,实现CORS通讯的关键是服务器。只要服务器实现了CORS接口,就能够跨源通讯。
二、浏览器同源策略
跨域主要是因为浏览器的同源策略致使,也就是说浏览器会阻止非同源的请求。
定义非同源:域名不一样 或 端口不一样。
浏览器只阻止表单及ajax请求,并不会阻止src请求(cdn、图片等src请求)。
三、cors示例
(1)8006端口index.html,执行跨域请求
<button class="get_service">洗剪吹</button>
<script src="https://code.jquery.com/jquery-3.3.1.js"></script>
<script>
// cors
$('.get_service').click(function () {
$.ajax({
url:'http://127.0.0.1:8008/service/',
success:function (data) {
console.log(data);
}
})
})
</script>
(2)点击按钮后,浏览器报错:(Firefox浏览器报错信息已经自动翻译为中文)
(3)在服务端8008视图函数中添加响应头:
def service(request):
info = {"name": "egon", "age": 34, "price": 200}
response = HttpResponse(json.dumps(info))
# 添加响应头,告诉浏览器不要拦截了
response['Access-Control-Allow-Origin'] = "http://127.0.0.1:8006"
# 都不拦截了,任何人均可以访问
# response['Access-Control-Allow-Origin'] = "*"
return response
添加后,点击按钮跨域访问再也不报错:
四、两种跨域请求
浏览器将CORS请求分红两类:简单请求(simple request)和非简单请求(not-so-simple request)。
(1)简单请求与非简单请求区分标准
只要同时知足如下两大条件,就属于简单请求。
(1) 请求方法是如下三种方法之一: HEAD GET POST (2)HTTP的头信息不超出如下几种字段: Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不一样时知足上面两个条件,就属于非简单请求。
(2)浏览器对两种请求的处理
浏览器对这两种请求的处理,是不同的。
* 简单请求和非简单请求的区别?
简单请求:一次请求
非简单请求:两次请求,在发送数据以前会先发一次请求用于作“预检”,只有“预检”经过后才再发送一次请求用于数据传输。
* 关于“预检”
- 请求方式:OPTIONS
- “预检”其实作检查,检查若是经过则容许传输数据,检查不经过则再也不发送真正想要发送的消息
- 如何“预检”
=> 若是复杂请求是PUT等请求,则服务端须要设置容许某请求,不然“预检”不经过
Access-Control-Request-Method
=> 若是复杂请求设置了请求头,则服务端须要设置容许某请求头,不然“预检”不经过
Access-Control-Request-Headers
支持跨域,简单请求
服务器设置响应头:Access-Control-Allow-Origin = '域名' 或 '*'
支持跨域,复杂请求
因为复杂请求时,首先会发送“预检”请求,若是“预检”成功,则发送真实数据。
- “预检”请求时,容许请求方式则需服务器设置响应头:Access-Control-Request-Method
- “预检”请求时,容许请求头则需服务器设置响应头:Access-Control-Request-Headers
五、用JSONP解决跨域
jsonp的实现原理是根据浏览器不阻止src请求(cdn、图片等)来入手实现的。
json虽然能解决跨域,可是只能解决get请求的跨域。而且实现起来须要先后端交互比较多。
(1)后端view.py
from django.shortcuts import render from django.http import HttpResponse from rest_framework.views import APIView from rest_framework.response import Response # Create your views here. class DemoView(APIView): def get(self, request): res = "handlerResponse('跨域测试')" return HttpResponse(res)
(2)前端demo.html
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="viewport" content="width=device-width, initial-scale=1"> <title>Title</title> <script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script> <script src="https://cdn.bootcss.com/axios/0.19.0-beta.1/axios.js"></script> <script> function handlerResponse(data) { // 定义handlerResponse函数,避免找不到 console.log(data) } </script> <!-- 使用src跨域 --> <script src="http://127.0.0.1:8000/demo/"></script> </head> <body> <div id="app"> </div> <script> const app = new Vue({ el: "#app", mounted(){ // 钩子函数 } }) </script> </body> </html>
(3)显示效果
六、用中间件处理跨域问题(通用方法)
经过添加响应头告诉浏览器不用拦截。
settings.py:
MIDDLEWARE = [
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'api.cors.CORSMiddleware'
]
建立该文件 应用名/cors.py:
from django.utils.deprecation import MiddlewareMixin
class CORSMiddleware(MiddlewareMixin):
"""自定义中间件"""
def process_response(self, request, response):
# 添加响应头
# 容许你的域名来获取个人数据
response['Access-Control-Allow-Origin'] = "*"
# 容许你携带Content-Type请求头,这里不能写*
# response['Access-Control-Allow-Headers'] = "Content-Type"
# 容许你发送GET/POST/DELETE/PUT
# response['Access-Control-Allow-Methods'] = "GET, POST"
if request.method == "OPTIONS":
response["Access-Control-Allow-Header"] = "Content-Type"
return response
5、更多参考博客
- 1. JSONP跨域请求,同源策略。。
- 2. 同源策略与JS跨域(JSONP , CORS)
- 3. 同源策略和跨域
- 4. 同源策略引起对跨域jsonp跨域的理解
- 5. 同源策略和Jsonp、CORS
- 6. 同源策略jsonp和cors
- 7. AJAX_违反了同源策略_就是"跨域"——jsonp 和 cors
- 8. 跨域(同源策略)
- 9. 同源策略与跨域
- 10. 跨域+同源策略
- 更多相关文章...
- • Redis内存回收策略 - Redis教程
- • 二级缓存的并发访问策略和常用插件 - Hibernate教程
- • PHP Ajax 跨域问题最佳解决方案
- • IntelliJ IDEA 代码格式化配置和快捷键
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. JSONP跨域请求,同源策略。。
- 2. 同源策略与JS跨域(JSONP , CORS)
- 3. 同源策略和跨域
- 4. 同源策略引起对跨域jsonp跨域的理解
- 5. 同源策略和Jsonp、CORS
- 6. 同源策略jsonp和cors
- 7. AJAX_违反了同源策略_就是"跨域"——jsonp 和 cors
- 8. 跨域(同源策略)
- 9. 同源策略与跨域
- 10. 跨域+同源策略