跨域解決之JSONP和CORS的詳細(xì)介紹

更新時(shí)間：2018年11月21日 14:42:29 作者：plusnewDate

跨域常見(jiàn)的兩種方式，分別是jsonp和cors，這篇文章主要介紹了跨域解決之JSONP和CORS的詳細(xì)介紹，非常具有實(shí)用價(jià)值，需要的朋友可以參考下

JSONP跨域和CORS跨域

什么是跨域？

跨域：指的是瀏覽器不能執(zhí)行其它網(wǎng)站的腳本，它是由瀏覽器的同源策略造成的，是瀏覽器的安全限制！

同源策略

同源策略：域名、協(xié)議、端口均相同。

瀏覽器執(zhí)行JavaScript腳本時(shí)，會(huì)檢查這個(gè)腳本屬于那個(gè)頁(yè)面，如果不是同源頁(yè)面，就不會(huì)被執(zhí)行。

JSONP跨域

只支持GET請(qǐng)求，不支持POST等其它請(qǐng)求，也不支持復(fù)雜請(qǐng)求，只支持簡(jiǎn)單請(qǐng)求。

CORS跨域

支持所有的請(qǐng)求，包含GET、POST、OPTOIN、PUT、DELETE等。既支持復(fù)雜請(qǐng)求，也支持簡(jiǎn)單請(qǐng)求。

JSONP和CORS跨域理解

使用目的： JSONP與CORS的使用目的相同，并且都需要服務(wù)端和客戶端同時(shí)支持，但CORS的功能更加強(qiáng)大。
JSONP（json with padding 填充式j(luò)son）：利用了使用src引用靜態(tài)資源時(shí)不受跨域限制的機(jī)制。主要在客戶端搞一個(gè)回調(diào)做一些參數(shù)接收與操作的處理，并把這個(gè)回調(diào)函數(shù)告知服務(wù)器，而服務(wù)器端需要做的是按照J(rèn)avaScript的語(yǔ)法把數(shù)據(jù)放到約定好的回調(diào)函數(shù)之中即可，jQuery很早之前就已經(jīng)把JSONP語(yǔ)法糖化了，使用起來(lái)會(huì)更加方便。
CORS（Cross-origin resource sharing 跨域資源共享）：依附于AJAX，通過(guò)添加HTTP Header部分字段請(qǐng)求與獲取有權(quán)限訪問(wèn)的資源。CORS對(duì)開(kāi)發(fā)者是透明的，因?yàn)闉g覽器會(huì)自動(dòng)根據(jù)請(qǐng)求的情況（簡(jiǎn)單和復(fù)雜）做出不同的處理。CORS的關(guān)鍵是服務(wù)器端的配置支持，由于CORS是W3C中一項(xiàng)較“新”的方案，以至于各大網(wǎng)頁(yè)解析引擎還沒(méi)有對(duì)齊進(jìn)行嚴(yán)格規(guī)格的實(shí)現(xiàn)，所以不同引擎下可能會(huì)有一些不一致。

JSONP和CORS的優(yōu)缺點(diǎn)

1. JSONP的主要優(yōu)勢(shì)在于對(duì)瀏覽器的支持較好；雖然目前主流瀏覽器都支持CORS，但I(xiàn)E9及以下不支持CORS。

2. JSONP只能用于獲取資源（即只讀，類似于GET請(qǐng)求）；CORS支持所有類型的HTTP請(qǐng)求，功能完善。（這點(diǎn)JSONP被玩虐，但大部分情況下GET已經(jīng)能滿足需求了）
JSONP的錯(cuò)誤處理機(jī)制并不完善，我們沒(méi)辦法進(jìn)行錯(cuò)誤處理；而CORS可以通過(guò)onerror事件監(jiān)聽(tīng)錯(cuò)誤，并且瀏覽器控制臺(tái)會(huì)看到報(bào)錯(cuò)信息，利于排查。

3. JSONP只會(huì)發(fā)一次請(qǐng)求；而對(duì)于復(fù)雜請(qǐng)求，CORS會(huì)發(fā)兩次請(qǐng)求。

4. 始終覺(jué)得安全性這個(gè)東西是相對(duì)的，沒(méi)有絕對(duì)的安全，也做不到絕對(duì)的安全。畢竟JSONP并不是跨域規(guī)范，它存在很明顯的安全問(wèn)題：callback參數(shù)注入和資源訪問(wèn)授權(quán)設(shè)置。CORS好歹也算是個(gè)跨域規(guī)范，在資源訪問(wèn)授權(quán)方面進(jìn)行了限制（Access-Control-Allow-Origin），而且標(biāo)準(zhǔn)瀏覽器都做了安全限制，比如拒絕手動(dòng)設(shè)置origin字段，相對(duì)來(lái)說(shuō)是安全了一點(diǎn)。但是回過(guò)頭來(lái)看一下，就算是不安全的JSONP，我們依然可以在服務(wù)端端進(jìn)行一些權(quán)限的限制，服務(wù)端和客戶端也都依然可以做一些注入的安全處理，哪怕被攻克，它也只能讀一些東西。就算是比較安全的CORS，同樣可以在服務(wù)端設(shè)置出現(xiàn)漏洞或者不在瀏覽器的跨域限制環(huán)境下進(jìn)行攻擊，而且它不僅可以讀，還可以寫(xiě)。

應(yīng)用場(chǎng)景

如果需要兼容IE低版本瀏覽器，無(wú)疑，JSONP。
如果需要對(duì)服務(wù)端資源進(jìn)行操作，無(wú)疑，CORS。
其他情況的話，根據(jù)自己的對(duì)需求的分析來(lái)決定和使用。

相同協(xié)議、域名、端口下

頁(yè)面在 http://localhost:3000/0
服務(wù)在 http://localhost:3000/1
控制臺(tái)能正常輸出 {name: '', sex: '', _stamp: ''}

views/0.ejs

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <meta http-equiv="X-UA-Compatible" content="ie=edge">
  <title>Document</title>
  <style>

  </style>
</head>
<body>
  <form action="/" onsubmit="return false">
    <label for="name">NAME</label><input type="text" id="name" name="name"><br>
    <label for="sex">SEX</label><input type="text" id="sex" name="sex"><br>
    <input type="submit" value="SUBMIT">
  </form>
  <script src="https://cdn.bootcss.com/jquery/3.3.1/jquery.min.js"></script>
  <script>
    $('form').on('submit', function(){
      $.ajax({
        url: 'http://localhost:3000/1',
        data: {
          name: $('#name').val(),
          sex: $('#sex').val()
        },
        success: function(data){
          console.log(data);
        }
      })
    })
  </script>
</body>
</html>

serve.js

const server = require('express')();

server.set('view engine', 'ejs');

server.get('/0', (req, res) => {
  res.render('0.ejs', {});
})

server.get('/1', (req, res) => {
  let {name, sex} = req.query;
  res.send({name, sex, _stamp: + new Date});
})

server.listen(3000);

JSONP

把0.ejs改為0.hmtl，直接打開(kāi)或者在http://localhost:3001/views/0.html打開(kāi)（3000端口被占用時(shí)運(yùn)行$ browser-sync start --server --files '**'）

控制臺(tái)報(bào)錯(cuò) Access to XMLHttpRequest at 'http://localhost:3000/1?name=&sex=' from origin 'null' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

jQuery 的 JSONP

0.html 的腳本改為

function jCb(data){ // 這個(gè)函數(shù)和ajax 的 success 同樣可以操作 data
  console.log('你要的', data);
}
$('form').on('submit', function(){
  $.ajax({
    url: 'http://localhost:3000/1',
    data: {
      name: $('#name').val(),
      sex: $('#sex').val()
    },
    dataType: 'jsonp',
    jsonpCallback: 'jCb', // 服務(wù)端 req.query.callback = 'jCb'
    success: function(data){
      console.log(data);
    }
  })
})

server.js 注意返回客戶端的字符串的拼接

const server = require('express')();
server.get('/1', (req, res) => {
  let {name, sex, callback} = req.query;
  var data = "{name: '', sex: '', _stamp: ''}"; // 然后再在單引號(hào)處拼接
    data = "{name: '" + name + "', sex: '" + sex + "', _stamp:' " + Date.now() + "'}";
    data = `{name: '${name}', sex: '${sex}', _stamp: '${+ new Date}'}`

  var resStr = callback + "()"
    resStr = callback + "(" + data + ")"
  console.log(callback, typeof callback); // jCb string
  console.log(resStr, typeof resStr); // jCb({name:'',sex:'',_stamp:'1542456915800'}) string
  res.send(resStr);
})

server.listen(3000);

利用 script 標(biāo)簽

0.html

<script>
  function jCb(data) {
    console.log("jsonpCallback: " + data.name)
  }
</script>
<script src = 'http://localhost:3000/1?jsonp=jsonpCallback'></script>
server.js

server.get('/1', (req, res) => {
  var data = 'var data = {name: $("#name").val(), sex: $("#sex").val(), _stamp: + new Date };'
  var debug = 'console.log(data);'
  var callback = '$("form").submit(function(){' + data + req.query.jsonp + '(data);' + debug + '});'
  res.send(callback);
})

CORS

html 代碼還是最初的代碼，server.js 改變

server.get('/1', (req, res) => {
  // 設(shè)置可以請(qǐng)求的域名，"*" 代表所有域名
  res.header("Access-Control-Allow-Origin", "http://localhost:3001");

  // 設(shè)置所允許的HTTP請(qǐng)求方法。
  res.header("Access-Control-Allow-Methods", "OPTIONS, GET, PUT, POST, DELETE");

  // 字段是必需的。它也是一個(gè)逗號(hào)分隔的字符串，表明服務(wù)器支持的所有頭信息字段。
  res.header("Access-Control-Allow-Headers", "x-requested-with, accept, origin, content-type");

  // 服務(wù)器收到請(qǐng)求以后，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后，確認(rèn)允許跨源請(qǐng)求，就可以做出回應(yīng)。

  // Content-Type表示具體請(qǐng)求中的媒體類型信息。
  res.header("Content-Type", "application/json;charset=utf-8");

  // 該字段可選。它的值是一個(gè)布爾值，表示是否允許發(fā)送Cookie。默認(rèn)情況下，Cookie不包括在CORS請(qǐng)求之中。
  // 當(dāng)設(shè)置成允許請(qǐng)求攜帶cookie時(shí)，需要保證"Access-Control-Allow-Origin"是服務(wù)器有的域名，而不能是"*"。
  res.header("Access-Control-Allow-Credentials", true);

  // 該字段可選，用來(lái)指定本次預(yù)檢請(qǐng)求的有效期，單位為秒。
  // 當(dāng)請(qǐng)求方法是PUT或DELETE等特殊方法或者Content-Type字段的類型是application/json時(shí)，服務(wù)器會(huì)提前發(fā)送一次請(qǐng)求進(jìn)行驗(yàn)證
  // 下面的的設(shè)置只本次驗(yàn)證的有效時(shí)間，即在該時(shí)間段內(nèi)服務(wù)端可以不用進(jìn)行驗(yàn)證
  res.header("Access-Control-Max-Age", 300);

  /*
  CORS請(qǐng)求時(shí)，XMLHttpRequest對(duì)象的getResponseHeader()方法只能拿到6個(gè)基本字段：
    Cache-Control、
    Content-Language、
    Content-Type、
    Expires、
    Last-Modified、
    Pragma。
  */
  // 需要獲取其他字段時(shí)，使用Access-Control-Expose-Headers，
  // getResponseHeader('myData')可以返回我們所需的值
  res.header("Access-Control-Expose-Headers", "myData");


  let {name, sex} = req.query;
  res.send({name, sex, _stamp: + new Date});
})

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: