以下题目是根据网上多份面经收集而来的,题目相同意味着被问的频率比较高,有问题欢迎留言讨论,喜欢可以点赞关注。
1、如何解决跨域的问题(阿里)
https://juejin.im/post/5c9c38e2e51d452db7007f66#heading-17
1、jsonp(json+padding)
2、cors跨域资源共享
3、document.domain + iframe跨域
4、location.hash+ iframe跨域
5、window.name + iframe跨域
6、postMessage跨域
7、nginx代理跨域
8、WebSocket
9、Nodejs中间件代理跨域
2、表单可以跨域吗(网易)
可以的,因为原页面用 form 提交到另一个域名之后,原页面的脚本无法获取新页面中的内容。所以浏览器认为这是安全的。而 AJAX 是可以读取响应内容的,因此浏览器不能允许你这样做。如果你细心的话你会发现,其实请求已经发送出去了,你只是拿不到响应而已。所以浏览器这个策略的本质是,一个域名的 JS ,在未经允许的情况下,不得读取另一个域名的内容。但浏览器并不阻止你向另一个域名发送请求。
这种表单提交的交互方式,提交时页面发生跳转即出现新的页面,体验感不好;再者,页面提交为单向提交,后台给什么反馈?反应?均不知道什么结果
3、跨域怎么解决,有没有使用过Apache等方案(滴滴)
同题一
4、对跨域的了解(今日头条)
5、介绍下浏览器跨域(沪江)
同题一
6、怎么去解决跨域问题(沪江)
同题一
7、jsonp方案需要服务端怎么配合(沪江)
后端根据jsonp参数名获取到参数后要与本来要返回的json数据按“callback(json)”的方式构造
浏览器的同源策略不允许跨域访问服务器。所以,在服务器端不知情、不配合的情况下,是不可能实现跨域访问的。
正规的方法:代理、CORS,都是在服务器端配置,对前端透明。不正规的方法:JSONP,其实是服务器端和客户端代码联合起来把跨域访问变成跨域资源下载。或者说是把应该AJAX完成的事情变成了下载一个JS文件。所以JSONP也是需要服务器端配合的。
首先在客户端注册一个callback (如:'jsoncallback'), 然后把callback的名字(如:jsonp123)传给服务器。注意:服务端得到callback的数值后,要用jsonp123(......)把将要输出的json内容包括起来,此时,服务器生成 json 数据才能被客户端正确接收。然后以 javascript 语法的方式,生成一个function , function 名字就是传递上来的参数 'jsoncallback'的值 jsonp123,最后将 json 数据直接以入参的方式,放置到 function 中,这样就生成了一段 js 语法的文档,返回给客户端。客户端浏览器,解析script标签,并执行返回的 javascript 文档,此时javascript文档数据,作为参数,传入到了客户端预先定义好的 callback 函数(如上例中jquery $.ajax()方法封装的的success: function (json))里.(动态执行回调函数)
可以说jsonp的方式原理上和<script src="http://跨域/...xx.js"></script>是一致的(qq空间就是大量采用这种方式来实现跨域数据交换的) .JSONP是一种脚本注入(Script Injection)行为,所以也有一定的安全隐患.
8、Ajax发生跨域要设置什么(沪江)
resp.setHeader("Access-Control-Allow-Origin", "*");
9、加上CORS之后从发起到请求正式成功的过程(沪江)
10、介绍下跨域(喜马拉雅)
同题一
11、Access-Control-Allow-Origin在服务端哪里配置(喜马拉雅)
*表示支持所有网站访问,也可以额外配置相应网站
resp.writeHead("Access-Control-Allow-Origin", "*");
12、ajax如何处理跨域(兑吧)
Ajax的原理简单来说通过XmlHttpRequest对象来向服务器发异步请求,从服务器获得数据,然后用javascript来操作DOM而更新页面。这其中最关键的一步就是从服务器获得请求数据。原生创建ajax可分为以下四步
1、创建XMLHttpRequest对象
Ajax的核心是XMLHttpRequest对象
创建 XMLHttpRequest对象的语法:
var xhr = new XMLHttpRequest();
老版本的 Internet Explorer(IE5 和 IE6)使用ActiveX 对象:
var xhr = new ActiveXObject("Microsoft.XMLHTTP");
2、准备请求
初始化该XMLHttpRequest对象,接受三个参数:
xhr.open(method,url,async);
第一个参数表示请求类型的字符串,其值可以是GET或者POST。第三个参数是true或false,表示请求是以异步还是同步的模式发出。(默认为true,一般不建议为false)false:同步模式发出的请求会暂停所有javascript代码的执行,知道服务器获得响应为止,如果浏览器在连接网络时或者在下载文件时出了故障,页面就会一直挂起。
3、发送请求
xhr.send();
一般情况下,使用Ajax提交的参数多是些简单的字符串,可以直接使用GET方法将要提交的参数写到open方法的url参数中,此时send方法的参数为null或为空。
4、处理响应
xhr.onreadystatechange = function(){
if(xhr.readyState == 4 && xhr.status == 200){
console.log(xhr.responseText);
}
}
13、CORS如何设置(兑吧)
同题11
14、jsonp为什么不支持post方法(兑吧)
本质上是通过script标签获取数据, script标签是只支持GET的
JSONP的最基本的原理是:动态添加一个<script>标签,而script标签的src属性是没有跨域的限制的。这样说来,这种跨域方式其实与ajax XmlHttpRequest协议无关了。
可以说jsonp的方式原理上和<script src="http://跨域/...xx.js"></script>是一致的,因为他的原理实际上就是 使用js的script标签 进行传参,那么必然是get方式的了,和浏览器中敲入一个url一样
15、介绍同源策略(兑吧)
背景:根据百度百科同源策略它是由 Netscape提出的一个安全策略,它是浏览器最核心也是最基本的安全功能,如果缺少同源策略,则浏览器的正常功能可能都会受到影响,现在所有支持JavaScript的浏览器都会使用这个策略。
定义:协议、域名、端口号都相同,只要有一个不相同,那么都是非同源
浏览器在执行脚本的时候,都会检查这个脚本属于哪个页面,即检查是否同源,只有同源的脚本才会被执行;而非同源的脚本在请求数据的时候,浏览器会报一个异常,提示拒绝访问。
①、http://www.123.com/index.html 调用 http://www.123.com/welcome.jsp 协议、域名、端口号都相同,同源。
②、https://www.123.com/index.html 调用 http://www.123.com/welcome.jsp 协议不同,非同源。
③、http://www.123.com:8080/index.html 调用 http://www.123.com:8081/welcome.jsp 端口不同,非同源。
④、http://www.123.com/index.html 调用 http://www.456.com/welcome.jsp 域名不同,非同源。
⑤、http://localhost:8080/index.html 调用 http://127.0.0.1:8080/welcom.jsp 虽然localhost等同于 127.0.0.1 但是也是非同源的。
同源策略限制的情况:
1、Cookie、LocalStorage 和 IndexDB 无法读取
2、DOM 和 Js对象无法获得
3、AJAX 请求不能发送
注意:对于像 img、iframe、script 等标签的 src 属性是特例,它们是可以访问非同源网站的资源的
16、列举几种解决跨域问题的方式,且说明原理
同题一
17、Ajax原理
Ajax(Asynchronous JavaScript And XML),异步 JavaScript 和 XML,用于异步请求数据,在不刷新网页的情况下更新页面数据,提升用户体验
怎么实现ajax
XMLHttpRequest
fetch(注意兼容性使用can i use)
18、为什么要同源限制
限制不同源的document或脚本之间的相互访问,以免造成干扰和混乱。也就是禁止不同源的通信,保障用户上网安全。
如果浏览器没有同源策略,会存在什么样的安全问题呢。下面从 DOM 同源策略和 XMLHttpRequest 同源策略来举例说明:如果没有 DOM 同源策略,也就是说不同域的 iframe 之间可以相互访问,那么黑客可以这样进行攻击:
做一个假网站,里面用 iframe 嵌套一个银行网站 http://mybank.com。把 iframe 宽高啥的调整到页面全部,这样用户进来除了域名,别的部分和银行的网站没有任何差别。
这时如果用户输入账号密码,我们的主网站可以跨域访问到 http://mybank.com 的 dom 节点,就可以拿到用户的账户密码了。
如果没有XMLHttpRequest 同源策略,那么黑客可以进行 CSRF(跨站请求伪造) 攻击:用户登录了自己的银行页面 http://mybank.com,http://mybank.com 向用户的 cookie 中添加用户标识。用户浏览了恶意页面 http://evil.com,执行了页面中的恶意 AJAX 请求代码。http://evil.com 向 http://mybank.com 发起 AJAX HTTP 请求,请求会默认把 http://mybank.com 对应 cookie 也同时发送过去。银行页面从发送的 cookie 中提取用户标识,验证用户无误,response 中返回请求数据。此时数据就泄露了。而且由于 Ajax 在后台执行,用户无法感知这一过程。因此,有了浏览器同源策略,我们才能更安全的上网。
19、json和jsonp的区别
1、JSON:是一种轻量级的数据交换格式。
2、JSONP:是JSON的一种“使用模式”,可用于解决主流浏览器的跨域数据访问的问题。一种非官方跨域数据交互协议。
3、json的核心是通过XmlHttpRequest获取非本页内容,而jsonp的核心则是动态添加<script>标签来调用服务器提供的js脚本。
JSONP的优缺点:
1、JSONP的优点
①它不像XMLHttpRequest对象实现的Ajax请求那样受到同源策略的限制;
②它的兼容性更好,在更加古老的浏览器中都可以运行,不需要XMLHttpRequest或ActiveX的支持;并且在请求完毕后可以通过调用callback的方式回传结果。
2、JSONP的缺点
①它只支持GET请求而不支持POST等其它类型的HTTP请求;
②不安全,容易遭到xss攻击
③它只支持跨域HTTP请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript调用的问题。
20、
21、写一个ajax跨域()
22、 ajax请求如何把异步改为同步?
ajax方法中有一个控制异步的字段"async",默认为true,表示异步。改为false之后就为同步
