探讨跨域请求资源的几种方式

[转自:http://www.cnblogs.com/dojo-lzz/p/4265637.html]

  1. 什么是跨域
  2. JSONP
  3. proxy代理
  4. cors
  5. xdr

  由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。具体可以查看下表(来源)

  

  JSONP

  这种方式主要是通过动态插入一个script标签。浏览器对script的资源引用没有同源限制,同时资源加载到页面后会立即执行(没有阻塞的情况下)。

复制代码
1 <script>
2       var _script = document.createElement('script');
3       _script.type = "text/javascript";
4       _script.src = "http://localhost:8888/jsonp?callback=f";
5       document.head.appendChild(_script);
6     </script>
复制代码

  实际项目中JSONP通常用来获取json格式数据,这时前后端通常约定一个参数callback,该参数的值,就是处理返回数据的函数名称。

复制代码
 1 <!doctype html>2 <html>3   <head>4     <meta charset="utf-8">5     <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">6     <title>jsonp_test</title>7 8     <script>9       var f = function(data){
10         alert(data.name);
11       }
12       /*var xhr = new XMLHttpRequest();
13       xhr.onload = function(){
14         alert(xhr.responseText);
15       };
16       xhr.open('POST', 'http://localhost:8888/cors', true);
17       xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
18       xhr.send("f=json");*/
19     </script>
20     
21     <script>
22       var _script = document.createElement('script');
23       _script.type = "text/javascript";
24       _script.src = "http://localhost:8888/jsonp?callback=f";
25       document.head.appendChild(_script);
26     </script>
27   </head>
复制代码
View Code
复制代码
 1 var query = _url.query;2         console.log(query);3         var params = qs.parse(query);4         console.log(params);5         var f = "";6     7         f = params.callback;8     9         res.writeHead(200, {"Content-Type": "text/javascript"});
10         res.write(f + "({name:'hello world'})");
11         res.end();
复制代码
View Code

  

  缺点:

  1、这种方式无法发送post请求(这里)

  2、另外要确定jsonp的请求是否失败并不容易,大多数框架的实现都是结合超时时间来判定。

 

  Proxy代理

  这种方式首先将请求发送给后台服务器,通过服务器来发送请求,然后将请求的结果传递给前端。

 1 <!doctype html>2 <html>3   <head>4     <meta charset="utf-8">5     <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">6     <title>proxy_test</title>7 8     <script>9       var f = function(data){
10         alert(data.name);
11       }
12       var xhr = new XMLHttpRequest();
13       xhr.onload = function(){
14         alert(xhr.responseText);
15       };
16       xhr.open('POST', 'http://localhost:8888/proxy?http://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer', true);
17       xhr.send("f=json");
18     </script>
19   </head>
20   
21   <body>
22   </body>
23 </html>
View Code
 1 var proxyUrl = "";2       if (req.url.indexOf('?') > -1) {3           proxyUrl = req.url.substr(req.url.indexOf('?') + 1);4           console.log(proxyUrl);5       }6       if (req.method === 'GET') {7           request.get(proxyUrl).pipe(res);8       } else if (req.method === 'POST') {9           var post = '';     //定义了一个post变量,用于暂存请求体的信息
10 
11         req.on('data', function(chunk){    //通过req的data事件监听函数,每当接受到请求体的数据,就累加到post变量中
12             post += chunk;
13         });
14     
15         req.on('end', function(){    //在end事件触发后,通过querystring.parse将post解析为真正的POST请求格式,然后向客户端返回。
16             post = qs.parse(post);
17             request({
18                       method: 'POST',
19                       url: proxyUrl,
20                       form: post
21                   }).pipe(res);
22         });
23       }
View Code

 

  需要注意的是如果你代理的是https协议的请求,那么你的proxy首先需要信任该证书(尤其是自定义证书)或者忽略证书检查,否则你的请求无法成功。12306就提供了一个鲜活的例子。

  

  

  还需要注意一点,对于同一请求浏览器通常会从缓存中读取数据,我们有时候不想从缓存中读取,所以会加一个preventCache参数,这个时候请求url变成:url?preventCache=12345567....;这本身没有什么问题,问题出在当使用某些前端框架(比如jquery)发送proxy代理请求时,请求url为proxy?url,同时设置preventCache:true,框架不能正确处理这个参数,结果发出去的请求变成proxy?url&preventCache=123456(正长应为proxy?url?preventCache=12356);后端截取后发送的请求为url&preventCache=123456,根本没有这个地址,所以你得不到正确结果。

 

  CORS

  这是现代浏览器支持跨域资源请求的一种方式。

  

  当你使用XMLHttpRequest发送请求时,浏览器发现该请求不符合同源策略,会给该请求加一个请求头:Origin,后台进行一系列处理,如果确定接受请求则在返回结果中加入一个响应头:Access-Control-Allow-Origin;浏览器判断该相应头中是否包含Origin的值,如果有则浏览器会处理响应,我们就可以拿到响应数据,如果不包含浏览器直接驳回,这时我们无法拿到响应数据。

复制代码
 1 <!doctype html>2 <html>3   <head>4     <meta charset="utf-8">5     <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">6     <title>jsonp_test</title>7 8     <script>9       /*var f = function(data){
10         alert(data.name);
11       }*/
12       var xhr = new XMLHttpRequest();
13       xhr.onload = function(){
14         alert(xhr.responseText);
15       };
16       xhr.open('POST', 'http://localhost:8888/cors', true);
17       xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
18       xhr.send("f=json");
19     </script>
20     
21     <script>
22      /* var _script = document.createElement('script');
23       _script.type = "text/javascript";
24       _script.src = "http://localhost:8888/jsonp?callback=f";
25       document.head.appendChild(_script);*/
26     </script>
27   </head>
28   
29   <body>
30   </body>
31 </html>
复制代码
前端cors

  

复制代码
 1 if (req.headers.origin) {2 3             res.writeHead(200, {4                 "Content-Type": "text/html; charset=UTF-8",5                 "Access-Control-Allow-Origin":'http://localhost'/*,6                 'Access-Control-Allow-Methods': 'GET, POST, OPTIONS',7                 'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type'*/8             });9             res.write('cors');
10             res.end();
11         }
复制代码
匹配

  

  如果我们把Access-Control-Allow-Origin去掉,浏览器会驳回响应,我们也就拿不到数据。

  

  需要注意的一点是Preflighted Request的透明服务器验证机制支持开发人员使用自定义的头部、GET或POST之外的方法,以及不同类型的主题内容。总结如如:

  1、非GET 、POST请求

  2、POST请求的content-type不是常规的三个:application/x- www-form-urlencoded(使用 HTTP 的 POST 方法提交的表单)、multipart/form-data(同上,但主要用于表单提交时伴随文件上传的场合)、text/plain(纯文本)

  3、POST请求的payload为text/html

  4、设置自定义头部

  OPTIONS请求头部中会包含以下头部:Origin、Access-Control-Request-Method、Access-Control-Request-Headers,发送这个请求后,服务器可以设置如下头部与浏览器沟通来判断是否允许这个请求。

  Access-Control-Allow-Origin、Access-Control-Allow-Method、Access-Control-Allow-Headers

1 var xhr = new XMLHttpRequest();
2       xhr.onload = function(){
3         alert(xhr.responseText);
4       };
5       xhr.open('POST', 'http://localhost:8888/cors', true);
6       xhr.setRequestHeader("Content-Type", "text/html");
7       xhr.send("f=json");
View Code
 1 if (req.headers.origin) {2 3             res.writeHead(200, {4                 "Content-Type": "text/html; charset=UTF-8",5                 "Access-Control-Allow-Origin":'http://localhost',6                 'Access-Control-Allow-Methods': 'GET,POST,OPTIONS',7                 'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type'/**/8             });9             res.write('cors');
10             res.end();
11         }
View Code

  

  如果你在调试状态,你会发现后台代码执行了两遍,说明发送了两次请求。注意一下我们的onload代码只执行了一次,所以说OPTIONS请求对程序来说是透明的,他的请求结果会被缓存起来。

  如果我们修改一下后台代码,把Content-Type去掉,你会发现OPTIONS请求失败。

  

  通过setRequestHeader('X-Request-With', null)可以避免浏览器发送OPTIONS请求。

  根据我的测试,当使用cors发送跨域请求时失败时,后台是接收到了这次请求,后台可能也执行了数据查询操作,只是响应头部不合符要求,浏览器阻断了这次请求。

 

  XDR

  这是IE8、IE9提供的一种跨域解决方案,功能较弱只支持get跟post请求,而且对于协议不同的跨域是无能为力的,比如在http协议下发送https请求。看一下微软自己的例子就行

复制代码
 1 <!DOCTYPE html>2 3 <html>4 <body>5   <h2>XDomainRequest</h2>6   <input type="text" id="tbURL" value="http://www.contoso.com/xdr.txt" style="width: 300px"><br>7   <input type="text" id="tbTO" value="10000"><br>8   <input type="button" οnclick="mytest()" value="Get">&nbsp;&nbsp;&nbsp;9     <input type="button" οnclick="stopdata()" value="Stop">&nbsp;&nbsp;&nbsp;
10     <input type="button" οnclick="readdata()" value="Read">
11   <br>
12   <div id="dResponse"></div>
13   <script>
14     var xdr;
15     function readdata()
16     {
17       var dRes = document.getElementById('dResponse');
18       dRes.innerText = xdr.responseText;
19       alert("Content-type: " + xdr.contentType);
20       alert("Length: " + xdr.responseText.length);
21     }
22     
23     function err()
24     {
25       alert("XDR onerror");
26     }
27 
28     function timeo()
29     {
30       alert("XDR ontimeout");
31     }
32 
33     function loadd()
34     {
35       alert("XDR onload");
36       alert("Got: " + xdr.responseText);
37     }
38 
39     function progres()
40     {
41       alert("XDR onprogress");
42       alert("Got: " + xdr.responseText);
43     }
44 
45     function stopdata()
46     {
47       xdr.abort();
48     }
49 
50     function mytest()
51     {
52       var url = document.getElementById('tbURL');
53       var timeout = document.getElementById('tbTO');
54       if (window.XDomainRequest)
55       {
56         xdr = new XDomainRequest();
57         if (xdr)
58         {
59           xdr.onerror = err;
60           xdr.ontimeout = timeo;
61           xdr.onprogress = progres;
62           xdr.onload = loadd;
63           xdr.timeout = tbTO.value;
64           xdr.open("get", tbURL.value);
65           xdr.send();
66         }
67         else
68         {
69           alert("Failed to create");
70         }
71       }
72       else
73       {
74         alert("XDR doesn't exist");
75       }
76     }
77   </script>
78 </body>
79 </html>
复制代码
View Code

 

  以上就是我在实际项目中遇到的跨域请求资源的情况,有一种跨域需要特别注意就是在https协议下发送https请求,除了使用proxy代理外其他方法都无解,会被浏览器直接block掉。如果哪位道友知道解决方法,麻烦你告诉我一声。

  最后附上完整的测试demo

  iss中:

 1 <!doctype html>2 <html>3   <head>4     <meta charset="utf-8">5     <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">6     <title>jsonp_test</title>7 8     <script>9       /*var f = function(data){
10         alert(data.name);
11       }*/
12       var xhr = new XMLHttpRequest();
13       xhr.onload = function(){
14         alert(xhr.responseText);
15       };
16       xhr.open('POST', 'http://localhost:8888/cors', true);
17       xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
18       xhr.setRequestHeader("aaaa","b");
19       xhr.send("f=json");
20     </script>
21     
22     <script>
23      /* var _script = document.createElement('script');
24       _script.type = "text/javascript";
25       _script.src = "http://localhost:8888/jsonp?callback=f";
26       document.head.appendChild(_script);*/
27     </script>
28   </head>
29   
30   <body>
31   </body>
32 </html>
View Code

  node-html

复制代码
 1 <!doctype html>2 <html>3   <head>4     <meta charset="utf-8">5     <meta name="viewport" content="initial-scale=1, maximum-scale=1,user-scalable=no">6     <title>proxy_test</title>7 8     <script>9       var f = function(data){
10         alert(data.name);
11       }
12       var xhr = new XMLHttpRequest();
13       xhr.onload = function(){
14         alert(xhr.responseText);
15       };
16       xhr.open('POST', 'http://localhost:8888/proxy?https://geocode.arcgis.com/arcgis/rest/services/World/GeocodeServer', true);
17       xhr.send("f=json");
18     </script>
19   </head>
20   
21   <body>
22   </body>
23 </html>
复制代码
View Code

  node-server

复制代码
 1 var http = require('http');2 var url = require('url');3 var fs = require('fs');4 var qs = require('querystring');5 var request = require('request');6 7 http.createServer(function(req, res){8     var _url = url.parse(req.url);9     if (_url.pathname === '/jsonp') {
10         var query = _url.query;
11         console.log(query);
12         var params = qs.parse(query);
13         console.log(params);
14         var f = "";
15     
16         f = params.callback;
17     
18         res.writeHead(200, {"Content-Type": "text/javascript"});
19         res.write(f + "({name:'hello world'})");
20         res.end();
21     } else if (_url.pathname === '/proxy') {
22       var proxyUrl = "";
23       if (req.url.indexOf('?') > -1) {
24           proxyUrl = req.url.substr(req.url.indexOf('?') + 1);
25           console.log(proxyUrl);
26       }
27       if (req.method === 'GET') {
28           request.get(proxyUrl).pipe(res);
29       } else if (req.method === 'POST') {
30           var post = '';     //定义了一个post变量,用于暂存请求体的信息
31 
32         req.on('data', function(chunk){    //通过req的data事件监听函数,每当接受到请求体的数据,就累加到post变量中
33             post += chunk;
34         });
35     
36         req.on('end', function(){    //在end事件触发后,通过querystring.parse将post解析为真正的POST请求格式,然后向客户端返回。
37             post = qs.parse(post);
38             request({
39                       method: 'POST',
40                       url: proxyUrl,
41                       form: post
42                   }).pipe(res);
43         });
44       }
45     } else if (_url.pathname === '/index') {
46         fs.readFile('./index.html', function(err, data) {
47           res.writeHead(200, {"Content-Type": "text/html; charset=UTF-8"});
48             res.write(data);
49             res.end();
50         });
51     } else if (_url.pathname === '/cors') {
52         if (req.headers.origin) {
53 
54             res.writeHead(200, {
55                 "Content-Type": "text/html; charset=UTF-8",
56                 "Access-Control-Allow-Origin":'http://localhost',
57                 'Access-Control-Allow-Methods': 'GET,POST,OPTIONS',
58                 'Access-Control-Allow-Headers': 'X-Requested-With, Content-Type,aaaa'/**/
59             });
60             res.write('cors');
61             res.end();
62         }
63     }
64     
65 }).listen(8888);
复制代码
View Code

参考文献:

javascript跨域资源总结与解决办法

jsonp跨域原理解析

Ajax进行跨域资源方法详解

Ajax POST&跨域 解决方案

HTTP access control

POST请求失败,变成options请求

XDomainRequest - Restrictions, Limitations and Workarounds

XDomainRequest object

转载于:https://www.cnblogs.com/kennyliu/p/6831089.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/392909.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python处理excel文件(xls和xlsx)

一、xlrd和xlwt 使用之前需要需要先安装&#xff0c;windows上如果直接在cmd中运行python则需要先执行pip3 install xlrd和pip3 install xlwt&#xff0c;如果使用pycharm则需要在项目的解释器中安装这两个模块&#xff0c;File-Settings-Project:layout-Project Interpreter&a…

Mina、Netty、Twisted一起学(五):整合protobuf

protobuf是谷歌的Protocol Buffers的简称&#xff0c;用于结构化数据和字节码之间互相转换&#xff08;序列化、反序列化&#xff09;&#xff0c;一般应用于网络传输&#xff0c;可支持多种编程语言。protobuf怎样使用这里不再介绍&#xff0c;本文主要介绍在MINA、Netty、Twi…

2021年南宁二中高考成绩查询,2021广西高考圆满结束,6月23日可查询成绩

6月8日下午&#xff0c;2021年高考统考圆满结束。今年广西参加高考统考考生人数40.05万余人&#xff0c;比2020年增加了2.2万人。我区预计6月23日可查询高考成绩&#xff0c;6月24日起可陆续填报志愿&#xff0c;我区的网上咨询会将于6月25日至27日举办。▲高考结束&#xff0c…

29 Python - 字符与编码

字符与编码 01 字符串本质 Python字符串相关概念 字符串 str 字节 bytes 字节数组 bytearray 电脑字符串存储机制 字符库&#xff1a;A、B每个字符有一个代码点如A是65 B为66&#xff0c;这种是方便人类读写的形式&#xff0c;但是最终需要存入计算机的CPU和内存&…

WPF:从WPF Diagram Designer Part 4学习分组、对齐、排序、序列化和常用功能

在前面三篇文章中我们介绍了如何给图形设计器增加移动、选择、改变大小及面板、缩略图、框线选择和工具箱和连接等功能&#xff0c;本篇是这个图形设计器系列的最后一篇&#xff0c;将和大家一起来学习一下如何给图形设计器增加分组、对齐、排序、序列化等功能。 WPF Diagram D…

ASP.NET Core跨域设置

项目中经常会遇到跨域问题&#xff0c;解决方法&#xff1a; 在appsettings.json 文件中添加json项 {"Logging": {"LogLevel": {"Default": "Warning"}},"AllowedHosts": "*","AppCores": "https…

CSS设计指南(读书笔记 - 背景)

本文转自william_xu 51CTO博客&#xff0c;原文链接&#xff1a;http://blog.51cto.com/williamx/1140006&#xff0c;如需转载请自行联系原作者

火车头如何才能设置发布的时候,如果是有html代码就直接的转换掉,互联网上笑话抽取及排重---火车头采集器的使用和MD5算法的应用...

10011311341 吕涛、10011311356李红目的&#xff1a;通过熟悉使用火车头采集器&#xff0c;在网络上采取3万条笑话并进行排重&#xff0c;以此来熟悉web文本挖掘的一些知识。过程&#xff1a;本次学习&#xff0c;主要分成两个部分。第一部分是笑话文本的采集&#xff0c;第二部…

win10上面安装win7的虚拟机怎么相互ping通

最近干了一些很蛋疼的事&#xff0c;这些都是自己踩过的坑&#xff0c;记录下来方便自己以后查阅 首先我的目的就是为了在自己的PC机上面部署一个SVN服务器&#xff0c;然后安装一个客户端&#xff0c;自己写的软件就可以定期入库&#xff0c;做好自己的版本控制&#xff0c;但…

win10用计算机名访问文件夹,win10系统提示你当前无权访问该文件夹的解决方法【图文教程】...

Win10系统下&#xff0c;我们在访问或更改某些系统文件夹时&#xff0c;有时会遇到系统提示“你当前无权访问该文件夹”的情况。那么&#xff0c;遇到这种情况的话&#xff0c;我们该怎么办呢&#xff1f;接下来&#xff0c;小编就向大家分享win10系统提示“你当前无权访问该文…

.Net Micro Framework研究—实现SideShow窗体界面

基于MF系统的Windows SideShow界面是非常炫的&#xff08;如下图&#xff09;。既然微软能用.Net Micro Framework实现这么棒的界面效果&#xff0c;我想我们也能做到。 &#xff08;SideShow模拟器界面和游戏程序中的右键菜单—注意菜单弹出后&#xff0c;其它的界面变暗了&am…

2017年读书计划(一)

前言 这篇博文就暂时不记录技术了&#xff0c;记录下生活。对自己今年2017年做个读书计划安排。 最近在看一部网络剧 - 《花间提壶方大厨》&#xff0c;也许你们会感觉我很无聊&#xff0c;我也是被头条带坏了&#xff0c;每天上班一个小时的地下交通-地铁&#xff0c;就借助上…

音标

音标 oror ds念子音&#xff0c;ts念s音

数据结构与算法---查找算法(Search Algorithm)

查找算法介绍 在java中&#xff0c;我们常用的查找有四种: 顺序(线性)查找 二分查找/折半查找 插值查找斐波那契查找1)线性查找算法 示例&#xff1a; 有一个数列&#xff1a; {1,8, 10, 89, 1000, 1234} &#xff0c;判断数列中是否包含此名称【顺序查找】 要求: 如果找到了&a…

Exchange Server 2007邮箱存储服务器的集群和高可用性技术(上)

高可用性矩阵-->见下图:邮箱服务器高可用性目标: 数据可用性-->保护邮箱数据免于失败和损坏服务可用性-->提高群集实效转移操作 简化群集管理 支持地理分散的群集 支持低成本大邮箱(GB)使用户可以基于业务需要更好的选择容错方案提高解决方案的可用性使用解决方案可…

html设置按钮样式变为椭圆,css border-radius圆形变为椭圆形,位置:绝对

我正在围绕字体真棒图标创建一个圆圈。我的问题是&#xff0c;当我添加position: absolute圆成为一个椭圆。css border-radius圆形变为椭圆形&#xff0c;位置&#xff1a;绝对同样的情况&#xff0c;如果我是设置display: block这里是什么&#xff0c;我想实现的图像 -CONRADU…

《火球——UML大战需求分析》(第1章 大话UML)——1.5 小结和练习

说明&#xff1a; 《火球——UML大战需求分析》是我撰写的一本关于需求分析及UML方面的书&#xff0c;我将会在CSDN上为大家分享前面几章的内容&#xff0c;总字数在几万以上&#xff0c;图片有数十张。欢迎你按文章的序号顺序阅读&#xff0c;谢谢&#xff01;本书已经在各大网…

金陵科技学院计算机开设课程,金陵科技学院各专业介绍

各专业介绍会计学专业(四年制本科) 金融学专业(四年制本科)财务管理专业(四年制本科) 国际经济与贸易专业(四年制本科)市场营销专业(四年制本科)国际商务专业(三年制专科)物流管理专业(三年制专科) 对外汉语专业(四年制本科)古典文献(古籍修复)专业(四年制本科)行政管理(高级秘…

【jQuery Demo】图片由下至上逐渐显示

无意中看到如何实现一张图片从下往上慢慢显现出来这个问题&#xff0c;弄了半天还是从上往下的效果&#xff0c;纠结了&#xff0c;最后还是提问人自己搞定了&#xff01;不过哈哈&#xff0c;又学到一点知识&#xff01; 1.下面是我自己做的效果(按钮可以点哦) 图片由下至上逐…

两个数之和等于第三个数

这是一个很好的算法题&#xff0c;解法类似于快速排序的整理方法。同时&#xff0c;更为值得注意的是这道题是 人人网2014校园招聘的笔试题&#xff0c;下面首先对题目进行描述&#xff1a; 给出一个有序数组&#xff0c;另外给出第三个数&#xff0c;问是否能在数组中找到两个…