跨域请求相关

说到跨域请求，咱们要先了解为何须要跨域请求以及跨域请求的问题

随着先后端分离的浪潮来临，愈来愈多的项目采用先后端分离的模式构建，从以前的一个服务器，到先后端各自的服务器，因此不一样服务器就会出现数据的交互，就出现了跨域请求。

说到跨域的问题，就要提到浏览器的同源策源。

同源策略

同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，若是缺乏了同源策略，则浏览器的正常功能可能都会受到影响。能够说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。

同源策略，它是由Netscape提出的一个著名的安全策略。如今全部支持JavaScript 的浏览器都会使用这个策略。所谓 同源是指，域名，协议，端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪一个页面的，即检查是否同源，只有和百度同源的脚本才会被执行。 若是非同源，那么在请求数据时，浏览器会在控制台中报一个异常，提示拒绝访问。

示例：

项目1:

==================================http://127.0.0.1:8001项目的index
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="http://code.jquery.com/jquery-latest.js"></script> </head> <body> <button>ajax</button> {% csrf_token %} <script> $("button").click(function(){ $.ajax({ url:"http://127.0.0.1:7766/SendAjax/", type:"POST", data:{"username":"yuan","csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val()}, success:function(data){ alert(123); alert(data) } }) }) </script> </body> </html> ==================================http://127.0.0.1:8001项目的views def index(request): return render(request,"index.html") def ajax(request): import json print(request.POST,"+++++++++++") return HttpResponse(json.dumps("hello"))

项目2:

==================================http://127.0.0.1:8002项目的index
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <script src="http://code.jquery.com/jquery-latest.js"></script> </head> <body> <button>sendAjax</button> {% csrf_token %} <script> $("button").click(function(){ $.ajax({ url:"/SendAjax/", type:"POST", data:{"username":"yuan","csrfmiddlewaretoken":$("[name='csrfmiddlewaretoken']").val()}, success:function(data){ alert(data) } }) }) </script> </body> </html> ==================================http://127.0.0.1:8002项目的views def index(request): return render(request,"index.html") from django.views.decorators.csrf import csrf_exempt @csrf_exempt def SendAjax(request): import json print("++++++++") return HttpResponse(json.dumps("hello2"))

 当点击项目1的按钮时，发送了请求，可是会发现报错以下：

 

已拦截跨源请求：同源策略禁止读取位于 http://127.0.0.1:7766/SendAjax/ 的远程资源。（缘由：CORS 头缺乏 'Access-Control-Allow-Origin'）。

注意：跨域发送的请求执行了，并返回了对应的数据，可是浏览器会对非同源请求作拦截。

Jsonp

jsonp是json用来跨域的一个东西。原理是经过script标签的跨域特性来绕过同源策略。

思考：这算怎么回事？

1	<script src = "http://code.jquery.com/jquery-latest.js" >< / script>

 借助script标签，实现跨域请求，示例：

# =============================http://127.0.0.1:8001/index <button>ajax</button> {% csrf_token %} <script> function func(name){ alert(name) } </script> <script src="http://127.0.0.1:7766/SendAjax/"></script> # =============================http://127.0.0.1:8002/ from django.views.decorators.csrf import csrf_exempt @csrf_exempt def SendAjax(request): import json print("++++++++") # dic={"k1":"v1"} return HttpResponse("func('yuan')") # return HttpResponse("func('%s')"%json.dumps(dic))

这其实就是JSONP的简单实现模式，或者说是JSONP的原型：建立一个回调函数，而后在远程服务上调用这个函数而且将JSON 数据形式做为参数传递，完成回调。

将JSON数据填充进回调函数，这就是JSONP的JSON+Padding的含义。

      通常状况下，咱们但愿这个script标签可以动态的调用，而不是像上面由于固定在html里面因此没等页面显示就执行了，很不灵活。咱们能够经过javascript动态的建立script标签，这样咱们就能够灵活调用远程服务了。

<button onclick="f()">sendAjax</button> <script> function addScriptTag(src){ var script = document.createElement('script'); script.setAttribute("type","text/javascript"); script.src = src; document.body.appendChild(script); document.body.removeChild(script); } function func(name){ alert("hello"+name) } function f(){ addScriptTag("http://127.0.0.1:7766/SendAjax/") } </script>

为了更加灵活，如今将你本身在客户端定义的回调函数的函数名传送给服务端，服务端则会返回以你定义的回调函数名的方法，将获取的json数据传入这个方法完成回调：

将8001的f()改写为：

1 2 3

function f(){           addScriptTag("http://127.0.0.1:7766/SendAjax/?callbacks=func")      }

8002的views改成：

1 2 3 4 5 6 7 8 9 10

def SendAjax(request):        import json        dic = { "k1" : "v1" }        print ( "callbacks:" ,request.GET.get( "callbacks" ))      callbacks = request.GET.get( "callbacks" )        return HttpResponse( "%s('%s')" % (callbacks,json.dumps(dic)))

jQuery对JSONP的实现

getJSON

jQuery框架也固然支持JSONP，可使用$.getJSON(url,[data],[callback])方法

8001的html改成：

<button onclick="f()">sendAjax</button> <script> function f(){ $.getJSON("http://127.0.0.1:7766/SendAjax/?callbacks=?",function(arg){ alert("hello"+arg) }); } </script>

8002的views不改动。

结果是同样的，要注意的是在url的后面必须添加一个callback参数，这样getJSON方法才会知道是用JSONP方式去访问服务，callback后面的那个问号是内部自动生成的一个回调函数名。

      此外，若是说咱们想指定本身的回调函数名，或者说服务上规定了固定回调函数名该怎么办呢？咱们可使用$.ajax方法来实现

 $.ajax

8001的html改成：

<script> function f(){ $.ajax({ url:"http://127.0.0.1:7766/SendAjax/", dataType:"jsonp", jsonp: 'callbacks', jsonpCallback:"SayHi" }); } function SayHi(arg){ alert(arg); } </script>

8002的views不改动。

固然，最简单的形式仍是经过回调函数来处理：

<script> function f(){ $.ajax({ url:"http://127.0.0.1:7766/SendAjax/", dataType:"jsonp", //必须有，告诉server，此次访问要的是一个jsonp的结果。  jsonp: 'callbacks', //jQuery帮助随机生成的：callbacks="wner"  success:function(data){ alert("hi "+data) } }); } </script>

  jsonp: 'callbacks'就是定义一个存放回调函数的键，jsonpCallback是前端定义好的回调函数方法名'SayHi'，server端接受callback键对应值后就能够在其中填充数据打包返回了; 

jsonpCallback参数能够不定义，jquery会自动定义一个随机名发过去，那前端就得用回调函数来处理对应数据了。利用jQuery能够很方便的实现JSONP来进行跨域访问。　　

注意 JSONP必定是GET请求

 应用

<input type="button" onclick="AjaxRequest()" value="跨域Ajax" />


<div id="container"></div>


    <script type="text/javascript">
        function AjaxRequest() {
            $.ajax({
                url: 'http://www.jxntv.cn/data/jmd-jxtv2.html?callback=list&_=1454376870403',
                type: 'GET',
                dataType: 'jsonp',
                jsonp: 'callback',
                jsonpCallback: 'list',
                success: function (data) {
                    
                    $.each(data.data,function(i){
                        var item = data.data[i];
                        var str = "<p>"+ item.week +"</p>";
                        $('#container').append(str);
                        $.each(item.list,function(j){
                            var temp = "<a href='" + item.list[j].link +"'>" + item.list[j].name +" </a><br/>";
                            $('#container').append(temp);
                        });
                        $('#container').append("<hr/>");
                    })

                }
            });
        }
</script>

View Code

 

CORS

1、简介

CORS须要浏览器和服务器同时支持。目前，全部浏览器都支持该功能，IE浏览器不能低于IE10。

整个CORS通讯过程，都是浏览器自动完成，不须要用户参与。对于开发者来讲，CORS通讯与同源的AJAX通讯没有差异，代码彻底同样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感受。

所以，实现CORS通讯的关键是服务器。只要服务器实现了CORS接口，就能够跨源通讯。

2、两种请求

浏览器将CORS请求分红两类：简单请求（simple request）和非简单请求（not-so-simple request）。

只要同时知足如下两大条件，就属于简单请求。

（1) 请求方法是如下三种方法之一：
HEAD
GET
POST
（2）HTTP的头信息不超出如下几种字段： Accept Accept-Language Content-Language Last-Event-ID Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不一样时知足上面两个条件，就属于非简单请求。

浏览器对这两种请求的处理，是不同的。

* 简单请求和非简单请求的区别？
 简单请求：一次请求 非简单请求：两次请求，在发送数据以前会先发一次请求用于作“预检”，只有“预检”经过后才再发送一次请求用于数据传输。

 * 关于“预检” - 请求方式：OPTIONS - “预检”其实作检查，检查若是经过则容许传输数据，检查不经过则再也不发送真正想要发送的消息 - 如何“预检” => 若是复杂请求是PUT等请求，则服务端须要设置容许某请求，不然“预检”不经过 Access-Control-Request-Method => 若是复杂请求设置了请求头，则服务端须要设置容许某请求头，不然“预检”不经过 Access-Control-Request-Headers

 

支持跨域，简单请求

服务器设置响应头：Access-Control-Allow-Origin = '域名' 或 '*'

备注：“*”表示容许全部跨域请求

支持跨域，复杂请求

因为复杂请求时，首先会发送“预检”请求，若是“预检”成功，则发送真实数据。

• “预检”请求时，容许请求方式则需服务器设置响应头：Access-Control-Allow-Methods
• “预检”请求时，容许请求头则需服务器设置响应头：Access-Control-Allow-Headers

　

备注：设置请求方式时，值必须是大写的请求方法。

　　不管是设置请求头仍是请求方式，对个数值之间用","分割

response['Access-Control-Allow-Methods'] = 'DELETE,PUT'
response['Access-Control-Allow-Headers'] = '请求头中容许的key1，key2,Content-Type'  # 容许其余形式的数据，好比json

 预检请求方式时，会报错：以put请求为例：

 预检请求头时，会报错：

 

 

 

 容许跨域时，最好是写一个中间件，将全部的响应中加上容许的头。

from django.utils.deprecation import MiddlewareMixin


class CrossMiddleware(MiddlewareMixin):

    def process_response(self,request,response):
        ret = response
        ret['Access-Control-Allow-Methods'] = 'DELETE,PUT'
        ret['Access-Control-Allow-Origin'] = '*'
　　　　 if request.method == 'OPTIONS':
　　　　　　response['Access-Control-Allow-Headers'] = 'Content-Type'

        return ret