跨域解決之JSONP和CORS的詳細介紹

JSONP跨域和CORS跨域

什麼是跨域？

跨域：指的是瀏覽器不能執行其它網站的腳本，它是由瀏覽器的同源策略形成的，是瀏覽器的安全限制！

同源策略

同源策略：域名、協議、端口均相同。

瀏覽器執行JavaScript腳本時，會檢查這個腳本屬於那個頁面，若是不是同源頁面，就不會被執行。

JSONP跨域

只支持GET請求，不支持POST等其它請求，也不支持複雜請求，只支持簡單請求。

CORS跨域

支持全部的請求，包含GET、POST、OPTOIN、PUT、DELETE等。既支持複雜請求，也支持簡單請求。

JSONP和CORS跨域理解

使用目的： JSONP與CORS的使用目的相同，而且都須要服務端和客戶端同時支持，但CORS的功能更增強大。
JSONP（json with padding 填充式json）：利用了使用src引用靜態資源時不受跨域限制的機制。主要在客戶端搞一個回調作一些參數接收與操做的處理，並把這個回調函數告知服務器，而服務器端須要作的是按照JavaScript的語法把數據放到約定好的回調函數之中便可，jQuery很早以前就已經把JSONP語法糖化了，使用起來會更加方便。
CORS（Cross-origin resource sharing 跨域資源共享）：依附於AJAX，經過添加HTTP Header部分字段請求與獲取有權限訪問的資源。CORS對開發者是透明的，由於瀏覽器會自動根據請求的狀況（簡單和複雜）作出不一樣的處理。CORS的關鍵是服務器端的配置支持，因爲CORS是W3C中一項較「新」的方案，以致於各大網頁解析引擎尚未對齊進行嚴格規格的實現，因此不一樣引擎下可能會有一些不一致。

JSONP和CORS的優缺點

1. JSONP的主要優點在於對瀏覽器的支持較好；雖然目前主流瀏覽器都支持CORS，但IE9及如下不支持CORS。

2. JSONP只能用於獲取資源（即只讀，相似於GET請求）；CORS支持全部類型的HTTP請求，功能完善。（這點JSONP被玩虐，但大部分狀況下GET已經能知足需求了）
JSONP的錯誤處理機制並不完善，咱們沒辦法進行錯誤處理；而CORS能夠經過onerror事件監聽錯誤，而且瀏覽器控制檯會看到報錯信息，利於排查。

3. JSONP只會發一次請求；而對於複雜請求，CORS會發兩次請求。

4. 始終以爲安全性這個東西是相對的，沒有絕對的安全，也作不到絕對的安全。畢竟JSONP並非跨域規範，它存在很明顯的安全問題：callback參數注入和資源訪問受權設置。CORS好歹也算是個跨域規範，在資源訪問受權方面進行了限制（Access-Control-Allow-Origin），並且標準瀏覽器都作了安全限制，好比拒絕手動設置origin字段，相對來講是安全了一點。可是回過頭來看一下，就算是不安全的JSONP，咱們依然能夠在服務端端進行一些權限的限制，服務端和客戶端也都依然能夠作一些注入的安全處理，哪怕被攻克，它也只能讀一些東西。就算是比較安全的CORS，一樣能夠在服務端設置出現漏洞或者不在瀏覽器的跨域限制環境下進行攻擊，並且它不只能夠讀，還能夠寫。

應用場景

• 若是須要兼容IE低版本瀏覽器，無疑，JSONP。
• 若是須要對服務端資源進行操做，無疑，CORS。
• 其餘狀況的話，根據本身的對需求的分析來決定和使用。

相同協議、域名、端口下

• 頁面在 http://localhost:3000/0
• 服務在 http://localhost:3000/1
• 控制檯能正常輸出 {name: '', sex: '', _stamp: ''}

views/0.ejs

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
<style>

</style>
</head>
<body>
<form action="/" onsubmit="return false">
<label for="name">NAME</label><input type="text" id="name" name="name"><br>
<label for="sex">SEX</label><input type="text" id="sex" name="sex"><br>
<input type="submit" value="SUBMIT">
</form>
<script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
<script>
$('form').on('submit', function(){
$.ajax({
url: 'http://localhost:3000/1',
data: {
name: $('#name').val(),
sex: $('#sex').val()
},
success: function(data){
console.log(data);
}
})
})
</script>
</body>
</html>

serve.js

const server = require('express')();

server.set('view engine', 'ejs');

server.get('/0', (req, res) => {
res.render('0.ejs', {});
})

server.get('/1', (req, res) => {
let {name, sex} = req.query;
res.send({name, sex, _stamp: + new Date});
})

server.listen(3000);

JSONP

把0.ejs改成0.hmtl，直接打開或者在http://localhost:3001/views/0.html打開（3000端口被佔用時運行$ browser-sync start --server --files '**'）

控制檯報錯 Access to XMLHttpRequest at 'http://localhost:3000/1?name=&sex=' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

jQuery 的 JSONP

0.html 的腳本改成

function jCb(data){ // 這個函數和ajax 的 success 一樣能夠操做 data
console.log('你要的', data);
}
$('form').on('submit', function(){
$.ajax({
url: 'http://localhost:3000/1',
data: {
name: $('#name').val(),
sex: $('#sex').val()
},
dataType: 'jsonp',
jsonpCallback: 'jCb', // 服務端 req.query.callback = 'jCb'
success: function(data){
console.log(data);
}
})
})

server.js 注意返回客戶端的字符串的拼接

const server = require('express')();
server.get('/1', (req, res) => {
let {name, sex, callback} = req.query;
var data = "{name: '', sex: '', _stamp: ''}"; // 而後再在單引號處拼接
data = "{name: '" + name + "', sex: '" + sex + "', _stamp:' " + Date.now() + "'}";
data = `{name: '${name}', sex: '${sex}', _stamp: '${+ new Date}'}`

var resStr = callback + "()"
resStr = callback + "(" + data + ")"
console.log(callback, typeof callback); // jCb string
console.log(resStr, typeof resStr); // jCb({name:'',sex:'',_stamp:'1542456915800'}) string
res.send(resStr);
})

server.listen(3000);

利用 script 標籤

0.html

<script>
function jCb(data) {
console.log("jsonpCallback: " + data.name)
}
</script>
<script src = 'http://localhost:3000/1?jsonp=jsonpCallback'></script>
server.js

server.get('/1', (req, res) => {
var data = 'var data = {name: $("#name").val(), sex: $("#sex").val(), _stamp: + new Date };'
var debug = 'console.log(data);'
var callback = '$("form").submit(function(){' + data + req.query.jsonp + '(data);' + debug + '});'
res.send(callback);
})

CORS

html 代碼仍是最初的代碼，server.js 改變

server.get('/1', (req, res) => {
// 設置能夠請求的域名，"*" 表明全部域名
res.header("Access-Control-Allow-Origin", "http://localhost:3001");

// 設置所容許的HTTP請求方法。
res.header("Access-Control-Allow-Methods", "OPTIONS, GET, PUT, POST, DELETE");

// 字段是必需的。它也是一個逗號分隔的字符串，代表服務器支持的全部頭信息字段。
res.header("Access-Control-Allow-Headers", "x-requested-with, accept, origin, content-type");

// 服務器收到請求之後，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段之後，確認容許跨源請求，就能夠作出迴應。

// Content-Type表示具體請求中的媒體類型信息。
res.header("Content-Type", "application/json;charset=utf-8");

// 該字段可選。它的值是一個布爾值，表示是否容許發送Cookie。默認狀況下，Cookie不包括在CORS請求之中。
// 當設置成容許請求攜帶cookie時，須要保證"Access-Control-Allow-Origin"是服務器有的域名，而不能是"*"。
res.header("Access-Control-Allow-Credentials", true);

// 該字段可選，用來指定本次預檢請求的有效期，單位爲秒。
// 當請求方法是PUT或DELETE等特殊方法或者Content-Type字段的類型是application/json時，服務器會提早發送一次請求進行驗證
// 下面的的設置只本次驗證的有效時間，即在該時間段內服務端能夠不用進行驗證
res.header("Access-Control-Max-Age", 300);

/*
CORS請求時，XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段：
Cache-Control、
Content-Language、
Content-Type、
Expires、
Last-Modified、
Pragma。
*/
// 須要獲取其餘字段時，使用Access-Control-Expose-Headers，
// getResponseHeader('myData')能夠返回咱們所需的值
res.header("Access-Control-Expose-Headers", "myData");

let {name, sex} = req.query;
res.send({name, sex, _stamp: + new Date});
})

 

參考文章:

• 跨域請求兩種方法 jsonp和cors的實現
• 快速解決跨域請求問題:jsonp和CORS

文章同步發佈： https://www.geek-share.com/detail/2753888135.html