跨域
JSONP
使用<script>标签不受同源策略影响的特性,作为Ajax传输技术称为JSONP。
使用JSONP时,需要服务器返回一个实际内容作为一个函数参数的函数执行语句。
//整个函数作为返回主体,实际的响应主体
handleResponse(
//目标需要的响应主体
[1,2,{"buckle":"my shoe"}]
)
handleResponse()的表达式在客户端完成,通过<script>标签使用JSONP后,在客户端上会执行handleResponse(data)函数达到获取数据的目的。
通常情况为了使用方便,在URL中添加一个查询参数来表示返回的执行函数的函数名。
示例
//一个响应处理函数
function handleResponse(response){
alert("You're at IP address " + response.id + ".");
}
var script = document.creatElement("script");
//在url中添加一个查询参数指明响应处理函数名称
script.src = "http://XXX.XXX/XX?callback=handleResponse";
document.body.insertBefore(script,document.body.firstChild);
CORS跨域资源共享
CORS(Cross-Origin Resource Sharing)是一种跨域获取资源的解决方案。思想是使用自定义的http头让浏览器与服务器沟通,从而决定请求或响应是否成功。(ie10以下不支持)
客户端在发送请求的时候添加一个额外的头部信息Origin头部,内容包含请求页面的源信息(协议、域名和端口),服务器根据这个头部信息来决定是否给予响应。如果服务器认为这个请求可以接受,就在Access-Control-Allow-Origin头部中发回相同的源信息。如果服务器返回的响应没有这个头部或者头部的源信息不匹配,浏览器就会驳回。
客户端对于请求分为两类,简单请求和非简单请求。
简单请求
CORS对于简单请求只是在头信息中添加Origin字段,这个字段说明本次请求来自哪个源,即发送请求的页面地址。发送请求以后,浏览器会接收服务器的响应,当响应成功时http码200,在响应头中Access-Control-Allow-Origin 字段中出现请求页面的地址,则请求页面可以接收到来自服务器的信息,否则页面不能获取响应的信息,但是实际信息已经发送到浏览器,由于同源策略的原因不可访问。
Access-Control-Allow-Origin 该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
Access-Control-Allow-Credentials 字段表示是否允许发送Cookie。如果这个字段为true,表明可以接收cookie。xhr.withCredentials = true; 在浏览器上设置发送cookie;
Access-Control-Expose-Headers 字段表示获取的响应头的其他字段。
非简单请求
非简单请求是指请求方法为PUT 或DELETE,或者Content-Type为application/json。对于这样的请求CORS会在正式请求之前发送一次预请求。
预请求的方法是OPTIONS ,预请求的头信息里包括Origin Methods Headers三个字段。
Access-Control-Allow-Origin同简单请求
Access-Control-Allow-Methods该字段必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。
Access-Control-Allow-Headers该字段是一个逗号分隔的字符串,指定浏览器CORS请求会额外发送的头信息字段。
如果浏览器否定了预请求,会返回一个正常的HTTP响应,但是响应头中没有任何CORS的信息。这时会触发XMLHttpRequest对象的onerror方法。
<script>
document.cookie = "This is Cookie";
var xhr = new XMLHttpRequest();
var url = 'http://localhost:8081/';
xhr.open('GET',url);
xhr.setRequestHeader('X-Custom-Header', 'value');
xhr.onreadystatechange = function (){
if(xhr.readyState ===4){
if(xhr.status === 200){
var span = document.getElementById("span");
span.innerHTML = xhr.responseText;
alert(xhr.responseText);
}
}
};
//发送cookie
xhr.withCredentials = true;
xhr.send(null);
console.log(document.cookie);
</script>
var http = require('http');
var message = "This is massage";
http.createServer(function(req,res){
res.setHeader("Content-type","text/text");
res.setHeader("Access-Control-Allow-Origin","http://localhost:63342");
res.setHeader("Access-Control-Allow-Methods","GET,POST,PUT,DELETE");
res.setHeader("Access-Control-Allow-Credentials",true);
//设置允许的请求头中出现的字段
res.setHeader("Access-Control-Allow-Headers","X-Custom-Header");
res.writeHead(200);
res.write(message);
res.end(" end");
}).listen(8081);
WebSocket
WebSocket是一种通信协议,使用ws://和wss://作为协议前缀,该协议是一种全双工的协议,http是一种半双工协议。利用该协议不受同源策略限制的情况,可以使用该协议作为跨域通信的方式。
